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资产 证 券 化 可 能 成 为 区 其 链 最 好 的 一 个 应 
用 


谢 平 


区 块 链 ， 这 个 原本 “高 冷 * 的 技术 词汇 ， 自 2015 年 以 来 ， 引 起 了 当前 
波 又 一 波 最 为 火热 的 和 争议。 到底 什 么 是 区 块 链 呢 ? 一 般 人 都 是 因为 知 
道 比 特 币 而 知道 了 区 块 链 ， 也 都 知道 区 块 链 是 比特 币 的 一 项 关键 底层 技 
术 ， 通 俗 些 说 ， 它 束 像 是 一 个 数据 库 账本 ， 安 全 记录 所 有 的 比特 币 交 易 
信息 。 按 照 专 家 们 更 为 专业 的 解释 来 说 ， 该 技术 的 实质 是 ， 不 同 的 市 皮 
共同 参与 的 分 布 式 数据 库 ， 是 一 个 开放 式 的 公共 账 禾 。 从 数据 包 形 成 区 
块 ， 中 间 有 一 个 加 密 的 哈 希 值 计算 (密码 学 技术 ) ， 把 不 同时 间 有 段 的 交 
易 信 息 链 接 起 来 ， 束 形成 了 区 块 链 。 


信用 是 金融 活动 的 根基 。 具 体 到 金融 行业 ， 人 们 正 是 希望 能 够 通过 
区 块 链 技术 ， 低 成 本 地 解决 金融 活动 中 的 信任 问题 。 传 统 金融 体系 安排 
中 ， 所 有 金融 活动 的 监管 及 中 介 机 构 ， 包 括 产 品 登记 、 证 券 发 行 与 区 
易 、 信 息 披 露 、 资 金 托 管 等 方面 ， 都 是 解决 信任 问题 或 者 说 金融 中 最 为 
核心 的 信息 不 对 称 问题 。 由 于 信任 问题 是 一 直 难 以 解决 的 社会 问题 ， 所 
以 ， 我 们 这 个 社会 有 很 多 的 公信 力 机 构 。 从 反面 来 说 ， 本 次 让 市 场 投资 
者 失去 信心 的 长 达 10 年 的 全 球 金融 危机 ， 全 球 货币 与 资产 价值 的 不 稳 
定 ， 束 是 数字 货币 和 区 块 链 搁 术 被 国内 外 众多 金融 机 构 和 个 人 追捧 的 一 
个 重要 背景 ， 区 块 链 技术 给 我 们 创造 了 一 个 用 “ 共 信 力 ”来 解决 公信 力 问 


题 的 途径 。 


互联 网 科技 与 传统 金融 机 构 有 竺 进一步 的 融合 。 比 如 银行 业 ， 就 需 


要 更 加 重视 业务 经 营 管理 的 数字 化 、 智 能 化 建设 ， 更 加 深入 地 推广 应 用 
移动 互联 、 大 数据 、 云 计算 、 人 工 智能 等 先进 技术 ， 以 科技 改造 业务 、 
以 科技 推动 创新 。 正 是 在 这 样 的 思想 和 认识 下 ， 我 认为 区 块 链 技术 也 可 
能 为 包括 银行 、 保 险 在 内 的 机 构 提 供 当前 许多 问题 的 解决 方案 ， 不 然 当 
前 很 多 以 该 技术 为 核心 的 金融 科技 公司 并 没有 存在 的 必要 。 忆 一 方面 ， 
银行 家 们 也 明白 ， 区 块 链 不 会 是 银行 终结 的 信号 ， 区 块 链 可 以 玫 助 银行 
和 金融 机 构 寻 找 新 的 机 会 ， 更 好 地 服务 客户 。 


由 于 对 数字 货币 与 区 块 儿 有 一 定 的 兴趣 ， 和 希望 增加 认识 和 了 解 ， 我 
与 本 书 译 者 林 华 教授 畅谈 了 上 面 的 认识 与 体会 。 这 本 著作 是 根据 普 林 斯 
顿 大 学 公开 课 改 编 的 一 部 教材 ， 主 要 讨论 了 比特 币 的 一 系列 重要 问题 。 
比如 ， 书 中 痢 重 介绍 了 比特 币 的 运作 方式 、 比 特 币 与 众 不 同 的 技术 知 
识 、 比 特 币 安全 性 如 何 保障 、 比 特 币 的 匿名 性 特征 、 区 顽 链 如 何 帮助 比 
特 币 实现 没有 身份 的 共识 、 人 们 在 比特 币 这 一 平台 上 可 以 创建 哪些 应 用 
程序 、 比 特 币 的 存储 和 使 用 、 比 特 币 挖 矿 、 比 特 币 监 管 ， 以 及 作者 们 对 
比特 币 的 未 来 发 展 展望 。 我 认为 ， 在 阅读 完 如 此 专业 的 教材 之 后 ， 对 当 
前 热 议 的 比特 币 和 区 块 链 的 各 种 争议 观点 ， 我 们 就 可 以 具备 去 伪 存 真 的 
能 力 ， 或 许 还 能 掌握 基础 概念 ， 并 能 够 开发 出 安全 的 、 能 与 比特 币 网 络 
互动 的 软件 ， 甚 至 能 够 把 比特 币 相 关 理 论 应 用 于 自己 的 项 目 中 。 


林 教 授 曾 经 告诉 我 ， 资 产 证 券 化 与 区 块 链 有 一 个 很 好 的 结合 皮 ， 这 
是 我 非常 感 兴 趣 的 一 件 事 。 众 所 周知 ， 区 块 链 被 人 们 认识 主要 起 源 于 比 
特 币 。 比 特 币 的 本 质 是 数字 货币 ， 区 块 链 的 本 质 在 于 它 是 一 个 分 布 式 账 
本 ， 而 货币 系统 本 身 就 是 一 个 账本 ， 这 是 它们 能 够 天 然 结合 在 一 起 的 很 
好 解释 。 只 不 过 ， 原 来 的 货币 系统 账本 是 由 央行 控制 和 维护 的 ， 现 在 区 
块 链 则 是 分 布 式 的 《也 有 说 成 所 谓 的 去 中 心 化 ) ， 是 大 家 一 起 共同 维护 
的 一 个 账本 。 


资产 证 券 化 和 区 块 链 如 何 结合 呢 ? 一 直 专 长 于 资产 证 券 化 的 林 教 授 
告诉 我 说 ， 数 字 货 币 的 一 个 延伸 在 于 代 币 “Token Coin) ， 什 么 是 代 币 


呢 ? 就 是 把 资产 变 成 货币 ， 代 币 作为 资产 使 用 权 的 证 明 ， 或 者 资产 内 在 
价值 的 所 有 权证 明 。 资 产 变 成 货币 ， 束 是 一 种 证 券 化 。 如 末 我 们 能 够 建 
立 一 个 账本 ， 将 资产 证 券 化 池子 中 的 资产 ， 全 部 挪 到 这 个 账本 上 ， 基 础 
资产 的 各 种 特征 都 做 好 标记 ， 不 断 循环 ， 按 交易 时 间 更 新 区 块 ， 不 可 复 
改 ， 定 期 跟踪 ， 就 能 够 实现 资产 证 券 化 与 区 块 链 的 一 个 有 效 结合 。 资 产 
挪 到 账本 ， 还 需要 从 三 个 层面 来 将， 第 一 个 层面 是 资产 ， 第 三 个 层面 是 
账本 ， 中 间 需 要 一 个 开关 或 者 说 场景 ， 形 成 一 个 映射 关系 ， 即 将 资产 映 
财 到 对 应 账本 上 ， 实 现 所 谓 的 货币 化 。 中 间 层 需要 一 个 场景 ， 最 可 能 的 
场景 就 是 交易 所 ， 可 以 实现 资产 和 货币 的 交易 。 


当然 ， 我 和 林 华 教授 部 一 致 认为 ， 这 背后 还 有 一 个 担心 ， 从 金融 角 
度 来 看 ， 区 块 链 在 技术 上 仍然 不 够 成 熟 ， 尤 其 是 在 交易 环节 。 国 内 外 许 
多 专家 都 明确 估计 过 ， 区 块 链 技术 可 能 还 需要 3~5 年 时 间 才 能 真正 成 
熟 。 在 这 样 的 背景 下 ， 如 末 区 块 链 技术 被 滥用 ， 束 会 酝 本 很 大 的 风险 ， 
就 好 比 前 两 年 的 比特 币 投 机 潮 一 样 。 我 认为 ， 如 果 区 块 链 在 交易 活动 中 
的 跟 踊 、 项 目 资金 使 用 的 全 程 监控 以 及 智能 资产 合约 所 需要 的 风险 控制 
音 施 等 效用 发 挥 不 出 来 ， 只 是 利用 分 布 式 的 分 散 管 理 效果 ， 和 希望 在 没有 
一 个 第 三 方 公信 力 机 构 的 情形 下 保证 信用 ， 其 结果 会 很 容易 搞 得 像 P2P 
中 的 便 权 分 拆 分 包 一 样 ， 现 实 中 的 风险 并 没有 缩小 ， 只 是 被 转移 分 散 到 
广大 投资 人 中 去 ， 最 后 出 现 我 们 看 到 的 P2P 机 构 跑 路 现象 ， 更 要 防范 的 
古 ， 现 有 的 P2P 都 将 目 己 做 的 俩 权 分 拆 ， 包 装 成 所 谓 的 区 块 链 金 融 。 正 
如 北京 金融 工作 局 霍 学 文 局 长 近期 所 说 的 ,， “如果 现在 不 规范 区 块 链 技 
术 ， 它 又 会 成 为 非法 金融 活动 的 来 源 "”。 因 此 ， 我 个 人 也 强烈 呼吁 ， 我 
们 要 发 展 的 其 实 是 符合 金融 监管 和 行业 规则 的 撤 术 创新 ， 如 条 在 区 块 链 
技术 基础 上 从 事 不 规范 的 金融 行为 的 话 ， 也 会 造成 新 的 非法 集资 或 者 金 
融 不 稳定 的 来 源 。 


不 过 ， 我 依然 看 好 区 块 链 技 术 在 金融 领域 的 运用 ， 它 不 仅仅 是 货币 
创造 ， 而 且 是 价值 传输 与 公共 账户 。 现 在 国内 外 很 多 金融 机 构 在 价值 传 
输 ， 比 如 在 支付 结算 、 资 产 登记 以 及 资产 转让 等 方面 也 都 有 积极 的 探 


索 。 同 时 ， 由 于 区 块 链 是 一 个 公开 、 透 明 、 可 追溯 、 不 可 自 改 的 分 布 式 
总 账 系 统 ， 区 块 链 技术 可 以 有 效 降低 文 付 、 清 算 、 结 算 步 又 的 出 错 率 ， 
同时 监控 每 一 步 资金 的 流入 流出 情况 ， 是 推动 诚信 社会 建立 的 有 效 手 
段 ， 区 块 链 有 利于 金融 监管 的 一 面 。 随 着 监管 与 市 场 主体 对 区 块 链 技术 
的 认识 不 断 加 深 ， 以 及 该 技术 不 断 走 回 成 亢 来 保证 资产 的 真实 性 ， 和 林 
教授 一 样 ， 我 相信 资产 证 券 化 极 有 可 能 成 为 区 块 链 最 好 的 一 个 应 用 。 


基于 以 上 的 理解 和 认识 ， 我 欣然 为 林 华 教授 这 部 翻译 作品 作 序 。 


谢 平 
2016 年 7 月 
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月 风 


有 关于 区 块 链 是 什么 的 话题 ， 在 时 下 的 中 国 ， 可 能 已 经 被 包括 我 自 
己 在 内 的 人 说 成 了 陈 词 梁 调 了 。 但 是 每 每 我 们 都 会 看 到 这 样 一 种 情形 : 
一 些 我 们 认为 已 经 是 常识 的 概念 ， 却 往往 别 有 洞 天 ! 借 着 《区 块 链 : 技 
术 驱 动 金融 》 中 文 版 出 版 之 际 ， 我 愿意 把 我 最 近 对 区 块 链 概念 的 反刍 心 
得 写 下 来 ， 作 为 这 本 书 的 推 存 序 。 


区 块 链 首先 是 一 种 社会 思潮 。 它 预示 着 人 类 社会 转型 、 换 代 的 新 时 
代 的 到 来 。 区 块 链 的 社会 学 基础 是 纪 文 : 弛 利 《 失 控 》 一 书 里 观察 及 论 
述 到 的 基于 生物 逻辑 的 自然 、 社 会 、 技 术 的 进化 规律 : 分布 式 、 去 中 
心 ; 从 边缘 到 中 心 再 到 边缘 ， 从 失控 到 控制 再 到 失控 。 微 信之 父 张 小 龙 
泰 《 失 控 》 为 目 己 行动 指南 的 行为 ， 最 好 地 说 明了 互联 网 时 代 的 组 织 及 
经 济 发 展 规律 已 经 变 了 。 区 块 链 的 技术 基础 是 分 布 式 网 络 染 构 ， 正 是 因 
为 分 布 式 网 络 技术 的 成 熟 ， 去 中 心 、 弱 中 心 、 分 中 心 及 共享 、 共 识 、 共 
担 的 组 织 架 构 、 商 业 架 构 和 社会 架构 才 有 可 能 有 效 建立 起 来 。 本 书 束 是 
从 工程 技术 的 角度 来 介绍 基于 分 布 式 网 络 架 构 的 区 块 链 技术 的 ， 分 布 式 
网 络 染 构 对 人 类 社会 的 影响 和 冲击 ， 也 许 我 们 都 还 无 法 估计 ， 不 可 测 


量 ! 
量 ! 


当然 ， 任 何事 物 都 是 精华 与 糟粕 相生 相伴 、 优 点 与 缺点 共存 共 这 
的 ， 区 块 链 技术 也 一 样 。 在 社会 实践 中 我 们 已 经 看 到 ， 传 统 金融 机 构 在 
接受 区 块 链 技术 的 精华 的 同时 ， 已 经 扬弃 了 区 块 链 技术 当中 的 纯粹 去 中 
心 化 的 无 政府 主义 色彩 和 对 人 人 都 可 以 发 行货 币 的 去 管制 、 去 监管 的 追 


六 
~ 
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区 块 链 其 次 是 一 串 技术 组 合 。 第 一 ， 它 是 分 布 式 账本 : 全 部 机 构 一 
本 总 账 、 各 种 事务 一 本 总 账 ， 第 二 ， 它 是 新 型 数据 库 : 没有 中 心机 房 ， 
没有 运 维 人 员 ， 第 三 方 按 共 识 算法 录入 数据 ， 非 对 称 加 密 算法 保证 数据 
安全 ， 数 据 客观 可 信 ， 不 可 算 改 ， 第 三 ， 它 是 智能 合约 : 是 一 段 能 够 自 
动 执行 约定 条 件 的 计算 机 程序 ， 依 靠 智能 合约 技术 ， 理 想 中 的 世界 就 好 
像 一 台 精 密 运 行 的 计算 机 ， 一 切 都 可 以 事先 约定 ， 编 成 代码 ， 依 程序 行 
事 ; 第 四 ， 它 是 TCP/IP 模 型 (互联 网 模型 ) 里 的 点 对 点 价值 传输 协议 ， 
它 的 发 明 标志 着 过 去 20 几 年 ， 互 联网 技术 在 帮助 人 们 更 好 地 进行 信息 传 
输 之 后 ， 开 始 帮助 人 们 可 以 不 借助 任何 第 三 方 的 信任 背书 ， 点 对 点 、 端 
到 端 、P2P 地 来 传递 、 交 易 、 支 付 、 汇 竞价 值 物 。 互 联网 从 此 进入 新 时 
代 : 价值 互联 网 时 代 到 来 了 ! 


区 块 链 还 是 FinTech (金融 科技 ) 的 核心 。 继 互联 网 金融 之 后 ， 金 
融 科技 最 近 大 热 大 火 。 我 们 注意 到 ， 前 几 年 互联 网 金融 在 中 国 活跃 的 时 
候 ， 欧 美国 家 几乎 不 为 所 动 。 而 最 近 一 年 ， 欧 美国 家 反 过 来 把 金融 科技 
的 火把 传输 到 了 中 国 ， 在 互联 网 金融 一 地 鸡毛 的 时 候 ， 点 燃 了 中 国 金融 
创新 的 新 热点 。 一 开始 我 也 认为 ， 互 联网 金融 和 金融 科技 应 该 就 是 一 回 
事 。 但 细 细 想 想 ， 它 们 之 间 虽 然 没 有 本 质 不 同 ， 却 还 是 重心 各 有 侧 偏 。 
互联 网 金融 侧重 于 场景 章 命 ， 而 金融 科技 侧重 于 技术 革命 ， 进 一 步 ， 互 
联网 企业 拥有 场景 优势 ， 所 以 在 互联 网 金融 阶段 挟 场景 的 优势 ， 略 胜 传 
统 金 融 机 构 一 筹 。 其 实 就 连 互联 网 公司 本 里 ， 也 有 场景 能 力 的 高 低 之 
分 ， 电 了 商 和 社交 网 络 公司 创建 场景 的 能 力 最 强 ， 所 以 互联 网 金融 的 能 
也 就 最 大 。 其 他 类 型 的 互联 网 公司 ， 基 本 难以 望 其 项 背 。 


而 就 金融 科技 而 言 ， 侧 重 的 是 云 计算 、 大 数据 、 机 器 学 习 、 人 工科 
能 等 创新 技术 。 技 术 是 中 立 的 ， 这 意味 着 : 一 是 搁 术 公司 固然 有 技术 先 
发 优势 ， 但 金融 机 构 在 应 用 先进 技术 方面 也 没有 不 可 逾越 的 障碍 ， 二 是 
技术 逻辑 必须 与 业务 逻辑 结合 才能 创造 价值 ， 而 金融 机 构 在 业务 逻辑 方 


面相 比 技术 公司 有 优势 ， 业 务 逻 辑 的 经 验 积累 也 是 需要 时 间 和 过 程 的 。 
无 怪 乎 最 近 我 们 看 到 太 多 的 互联 网 公司 到 金融 机 构 挖 人 的 消 上 息 ， 因 为 在 
金融 科技 阶段 ， 互 联网 公司 急需 懂得 业务 逻辑 的 金融 人 才 。 


面 对 互 联网 公司 的 业务 竞争 ， 过 去 几 年 金融 机 构 的 应 对 举措 大 概 分 
三 类 : 一 是 无 力 回 天 ， 沦 为 通道 ， 二 是 热情 拥抱 ， 人 全面 对接 三 是 自 建 
场景 ， 创 新 模式 。 我 们 其 实在 多 年 以 前 就 已 经 看 到 过 飞信 与 微 信 演绎 的 
故事 了 ， 它 已 经 充分 说 明了 切 勿 以 已 之 短 捕 人 之 长 的 道理 。 


金融 科技 有 可 能 是 金融 机 构 在 与 互联 网 公司 业务 竞争 中 的 一 次 最 好 
的 机 会 ， 因 为 技术 面前 人 人 平等 。 


所 以 我 们 看 到 ， 这 一 次 华尔街 表现 出 来 的 热情 超越 硅谷 。 华 尔 街 的 
金融 机 构 者 纷纷 表白 上 自己 是 一 家 科技 公司 或 马上 将 成 为 一 家 科技 公司 。 


区 块 链 可 以 算得 上 是 金融 科技 里 的 核心 技术 。 因 为 区 块 链 技术 是 金 
融 业 的 底层 技术 革命 。 大 家 知道 ， 现 代 银 行业 起 源 于 意大利 。 之 所 以 起 
源 于 意大利 ， 一 是 意大利 是 欧洲 最 早 开始 海洋 贸易 的 地 区 ， 复 杂 的 、 高 
风险 的 海洋 贸易 必然 需要 相配 套 的 金融 服务 ;二 是 意大利 人 及 明 了 复式 
记 账 法 ， 使 得 复杂 的 经 济 活动 在 会 计 上 可 计量 。 复 式 记 账 法 几 百 年 来 一 
直 没 有 重大 的 改进 ， 区 块 链 技术 将 是 日 复 式 记 账 法 被 友 明 以 来 ， 人 类 社 
会 记 账 方法 的 第 一 次 革命 性 改进 。 作 为 分 布 式 账本 技术 ， 区 块 链 必 将 给 
任何 需要 记 账 的 行业 带 来 降低 成 本 、 提 高 效率 、 创 新 业务 、 创 新 服务 的 
机 会 。 金 融 业 因为 其 早已 经 数字 化 的 特点 ， 首 当 其 冲 ， 也 必 先 蒙 其 利 ! 


最 后 ， 和 希望 本 书 的 出 版 ， 能 够 从 工程 技术 层面 ， 推 动 区 块 链 技术 在 
中 国 的 发 展 ， 推 动 相关 应 用 的 落地 。 祝 《区 块 链 : 技术 驱动 金融 》 一 纸 
风行 ! 


肖 风 
2016 年 8 月 


详 着 前 言 


这 是 一 本 关于 比特 币 和 区 块 链 技术 的 专业 著作 ， 起 源 于 业内 所 熟知 
的 比特 币 和 加 密 货 币 技术 的 普 林 斯 顿 网 络 公开 课 。 以 普林斯顿 大 学 计算 
机 科学 助理 教授 阿尔 文 德 : 纳 拉 亚 南 (Arvind Narayanan) 为 首 的 专家 ， 与 
我 们 分 享 了 他 们 关于 数字 货币 与 区 块 链 的 权威 研究 成 果 和 重要 理论 观 
二 


目前 ， 国 内 对 于 比特 币 和 区 块 链 技术 的 热 氛 和 争议 ， 或 者 将 其 过 度 
神秘 化 ， 或 者 将 其 贬斥 得 一 无 是 处 ， 还 有 很 多 别有用心 的 人 不 适当 地 束 
吹 ， 正 是 反映 出 人 们 并 没有 真正 搞 清 楚 到 底 什 么 是 比特 币 ， 它 在 技术 层 
面 到 底 是 如 何 运作 的 。“ 他 山 之 石 ， 可 以 攻 玉 。?” 本 书 讨论 的 是 比特 币 的 
一 系列 重要 问题 。 比 特 币 是 如 何 运作 的 ? 它 因 何 而 与 众 不 同 ? 你 的 比特 
币 安全 吗 ? 比特 币 用 户 如 何 匿名 ? 我 们 可 以 在 比特 币 这 一 平台 上 创建 什 
么 应 用 程序 ? 加 密 数 字 货 币 可 以 被 监管 吗 ? 创建 一 种 新 的 数字 货币 将 会 
帝 来 什么 样 的 变化 ? 未 来 将 会 如 何 发 展 ? 本 书 中 ， 作 者 承认 比特 币 及 区 
块 链 技术 为 各 种 领域 融 来 了 其 履 性 的 创新 ， 但 他 们 并 不 认可 那 种 以 去 中 
心 化 为 目的 的 观点 。 


我 和 王 勇 教授 积极 联系 与 申请 ， 与 中 信 出 版 社 合 作 ， 通 过 激烈 的 苋 
争 拿 到 了 本 书 的 翻译 版 权 ， 书 中 内 容 的 专业 性 非常 强 ， 从 翻译 初稿 到 终 
稿 ， 经 过 接近 一 年 的 辛勤 和 努力 ， 终 于 完成 了 本 书 的 翻译 。 


在 此 ， 我 首先 要 感谢 中 国 投 资 公 司 前 副 总 经 理 谢 平 先生 和 中 国 万 向 
控股 有 限 公司 副 董事 长 肖 风 先生 不 酬 辛 苗 ， 亲 自 提 笔 为 本 书 作 推荐 序 。 
感谢 金融 时 报社 社 长 邢 早 忠 先 生 、 北 京 市 金融 工作 局 局 长 霍 学 文 匈 生 、 
浦发 银行 行 长 刘 信 义 先生 、 厦 门 国家 会 计 和 学院 院 长 黄 世 起 先生 以 及 深圳 


前 海 金融 资产 交易 所 总 经 理 唐 滤 先 生 为 本 书 把 写 推荐 词 ， 感 谢 您 们 的 表 
励 和 支持 。 


我 要 感谢 参与 本 书 翻译 的 每 一 位 译 者 。 感 谢 帅 初 提供 了 1~9 章 的 翻 
译 初稿 ， 蔡 凯 龙 提供 了 其 余 两 章 和 原版 前 言 的 翻译 初稿 。 由 于 本 书 涉及 
多 个 专业 领域 ， 翻 译 初稿 在 专业 性 和 体例 统一 等 方面 有 待 完 善 ， 我 组 织 
了 所 有 译 者 进行 重 译 和 修订 。 其 中 ， 高 晓 婧 负责 前 言 与 第 7 章 ， 王 勇 负 
责 第 1 章 和 第 2 章 ， 潜 浩 负责 第 3 章 和 第 4 章 ， 蔡 凯 龙 负责 第 5 章 ， 许 余 洁 
负责 第 6 章 和 第 10 章 ， 李 兆 光 负责 第 8 章 、 第 9 章 和 第 11 章 。 我 、 干 勇 和 
许 余 洁 确定 了 全 书 的 术语 表 ， 并 一 同 再 三 审 校 全 书 。 许 余 洁 在 整体 校 稿 
的 基础 上 ， 还 多 次 与 出 版 社 老师 们 对 接 书 稿 的 最 后 内 容 的 完善 。 每 一 位 
译 者 都 在 工作 之 余 花 了 很 多 时 间 精 推 细 敲 、 反 复 基 酌 原 文 和 译文 ， 几 经 
修订 才 使 本 书 得 以 呈现 在 读者 面前 ， 感 谢 每 一 位 译 者 的 辛苦 付出 ， 也 因 
此 我 们 采用 联合 署名 的 译 著 方式 。 


另外， 我 要 感谢 杨 昌 丽 、 黄 红 华 、 韩 世 光 、 董 方 朋 、 王 元 详 等 对 本 
书 在 翻译 过 程 中 所 提供 的 帮助 。 

最 后 ， 我 还 要 感谢 中 信 出 版 社 编辑 的 精心 编校 ， 没 有 大 家 精益 求 精 
的 团队 努力 与 合作 ， 这 本 书 的 中 文 版 本 不 可 能 如 此 顺利 与 读者 见面 。 

区 块 链 技术 在 中 国 的 健康 发 展 ， 还 是 要 基于 我 国 监管 的 框 桨 和 逻辑 


下 ， 与 适当 的 行业 进行 有 效 结合 。 我 们 衷心 地 祝愿 本 书 的 引进 ， 能 够 有 
助 于 大 家 正确 理解 比特 币 金 融 技术 的 创新 与 发 展 。 


林 华 
2016 年 7 月 于 北京 


原 厂 引言 


比特 币 和 加 密 数 字 货 币 是 当前 的 热门 话题 。 乐 观 主义 者 认为 比特 币 
将 从 根本 上 改变 人 们 的 文 付 方式 、 全 球 经 济 甚 至 政治 格局 ， 翡 观 者 则 认 
为 它 生 来 束 不 完美 ， 其 失败 是 注定 且 彻 抵 的 。 


完 其 根本 ， 这 些 分 歧 之 所 以 存在 ， 是 因为 人 们 没 弄 清楚 到 底 什 么 是 
比特 币 以 及 它 是 如 何 运作 的 。 本 书 的 目的 束 是 帮助 人 们 跳 过 喷头 切入 重 
扩 ， 看 清 比 特 币 的 特殊 性 。 要 真正 了 解 比特 币 的 特殊 性 ， 我 们 需要 了 解 
它 在 拉 术 层面 的 运作 模式 。 比 特 币 是 一 项 新 兴 技 术 。 把 它 与 现 有 技术 进 
行 简 单 类 比 ， 很 难 帮助 我 们 做 到 这 一 点 。 


阅读 本 书 需 要 具备 计算 机 科学 的 基础 知识 ， 了 解 计算 机 的 工作 原 
理 、 数 据 结构 和 算法 ， 拥 有 一 定 的 编程 经验 。 如 果 你 是 一 名 计算 机 专业 
本 科 生 或 研究 生 、 软 件 工程 师 、 创 业者 或 技术 爱好 者 ， 那 么 这 本 书 很 适 


合 你 。 


本 书 将 讨论 比特 币 的 一 系列 重要 问题 : 比特 币 是 如 何 运作 的 ? 它 因 
何 而 与 众 不 同 ? 你 的 比特 币 安全 吗 ? 比特 币 用 户 如 何 匿名 ? 我 们 可 以 在 
比特 币 这 一 平台 上 创建 什么 应 用 程序 ? 加 密 数 字 货 币 可 以 被 监管 吗 ? 创 
建 一 种 新 的 数字 货币 将 会 带 来 什么 样 的 变化 ? 未 来 将 会 如 何 发 展 ? 


完成 本 书 的 学 习 之 后 ， 对 比特 币 和 加 密 数字 货币 的 观点 ， 你 应 该 具 
备 了 去 伪 存 真 的 能 力 ， 同 时 也 掌握 了 基础 概念 ， 能 够 开发 出 安全 的 、 能 
与 比特 币 网 络 互动 的 软件 ， 还 可 以 把 比特 币 相关 理论 应 用 于 自己 的 项 目 
中 。 


本 书 网 上 补充 阅读 材料 中 ， 还 包含 系列 配套 练习 题 ， 可 以 帮助 你 
更 深入 理解 每 一 章节 。 此 外 ， 你 还 需要 运用 到 一 些 要 求 运 用 比特 币 的 
简化 模型 ， 来 完成 一 系列 编程 任务 。 本 书 的 大 部 分 内 容 都 有 视频 ， 如 
有 需要 ， 可 以 在 免费 公开 在 线 课 程 三 上 获得 (补充 材料 获取 网 址 
为 :http://press. princeton. edu/titles/10908. htm1) 。 同 时 ， 建 
议 读 者 补充 比特 币 相关 知识 ， 你 可 以 阅读 比特 币 维基 、 论 坛 、 研 究 报 
告 ， 并 与 比特 币 从 业者 及 兴趣 相同 的 人 进行 讨论 。 


i Coursera， 是 免费 大 型 公开 在 线 课程 项 目 ， 由 美国 斯 坦 福 大 学 两 名 计算 机 科学 教授 创 
办 。 导 在 同 世 界 顶 尖 大 学 合作 ， 在 线 提供 免费 的 网 络 公开 课程 。 一 一 译 者 注 


原 厂 前 言 
通 往 比 特 币 的 漫长 道路 


杰 里 米 。 克 拉克 (Jeremy Clarek) 


在 通 往 比特 币 的 道路 上 ， 布 满 了 无 数 失 败 的 答 试 。 我 收集 了 一 份 由 
约 100 个 加 密 文 付 系统 组 成 的 名 单 。 它 们 的 技术 基于 电子 现金 〈e-cash ) 
和 信用 卡 ， 在 茶 些 方面 获得 显赫 成 承 ， 见 表 0.1。 其 中 一 些 是 和 【广泛 引 
用 的 学 术 研 究 成 果 ， 还 有 一 些 是 已 开发 和 测试 过 的 实 实在 在 的 系统 。 在 
这 份 名 单 上 ， 被 大 家 所 知 的 大 概 只 有 一 个 一 一 贝 宇 〈PayPal〉。 而 贝 宇 
之 所 以 垃 存 ， 得 益 于 它 及 时 纠正 了 最 初 想 在 移动 设备 上 进行 加 密 文 付 这 
= 


这 段 历史 会 让 我 们 吸取 很 多 教训 。 比 特 币 的 想法 从 何 而 来 ? 为 什么 
一 些 技术 成 功 了 而 另 一 些 则 一 败 涂 地 ? 如 何 成 功 地 商业 化 那些 复杂 的 技 
术 创 新 ?即便 不 去 思考 这 些 ， 它 至 少 让 我 们 明白 ， 一 个 真实 可 行 的 基于 
互联 网 的 支付 体系 是 多 么 来 之 不 易 。 


传统 金融 体系 


设想 在 政府 和 货币 出 现 之 前 ， 人 们 以 物 物 交 换 的 方式 进行 着 交易 。 
比如 ， 爱 丽 丝 (Alice〉 需 要 工具 ， 鲍 过 (Bob) 需要 药品 。 如 果 他 们 正 
好 都 有 对 方 所 需 物 品 ， 就 可 以 进行 交换 ， 满 足 各 自 所 需 。 


但 是 ， 如 果 爱 丽 丝 有 食物 ， 愿 意 拿 食物 换 工具 ， 鲍 勃 有 工具 但 不 需 
要 食物 ， 他 想 要 药品 。 在 这 种 情况 下 ， 爱 丽 丝 和 鲍 勃 就 没 法 直接 与 对 方 


交易 。 但 是 ， 如 果 有 男 一 个 人 卡 罗 尔 (Carol) ， 他 有 和 药品， 而 且 愿 意 
拿 药 品 换取 食物 。 那 么 ， 这 三 个 人 就 可 以 进行 交易 ， 各 自 获 得 所 需 物 


ml 


口 o 


ACC CyberCents IKP MPTP Proton 

Agora CyberCoin IMB-MP Net900 Redi-Charge 
AIMP CyberGold InterCoin NetBill SA 
Allopass DigiGold Ipin NetCard Sandia Lab E-Cash 
b-money Digital Silk Road Javien NetCash Secure Courier 
BankNet e-Comm Karma NetCheque Semopo 

Bitbit E-Gold LotteryTickets NetFare SET 

Bitgold Ecash Lucre No3rd SET2Go 
Bitpass eCharge MagicMoney One Click Charge SubScrip 
C-SET eCoin Mandate PayMe Trivnet 

CAFE Edd MicroMint PayNet TUB 
Checkfree eVend Micromoney PayPal Twitpay 
ClickandBuy First Virtual MilliCent PaySafeCard VeriFone 
ClickShare FSTC Electronic Check Mini-Pay PayTrust VisaCash 
CommerceNet Geldkarte Minitix PayW ord Wallie 
CommercePOINT Globe Left MobileMoney Peppercoin Way2Pay 
CommerceSTAGE Hashcash Mojo PhoneTicks WorldPay 
Cybank HINDE Mollie Playspan X-Pay 
CyberCash 1Bill Mondex Polling 


表 0.1 一 些 优秀 的 电子 支付 系统 和 构想 


当然 ， 难 点 在 于 协调 ， 即 组 织 一 群 供需 匹配 的 人 在 同一 时 间 、 同 一 
地 点 进行 交易 。 为 解决 这 一 难点 ， 出 现 了 两 个 体系 : 信用 和 现金 。 二 者 
哪个 更 早出 现 ， 历 史学 家 、 人 类 学 家 和 经 济 学 家 们 就 此 争论 不 休 ， 但 这 
对 本 书 的 讨论 无 关 紧 要 。 


在 上 面 的 例子 中 ， 在 信用 体系 里 ， 爱 丽 丝 和 鲍 盈 可 以 与 对 方 交 易 。 
鲍 动 给 爱丽 丝 她 所 需 的 工具 ， 得 到 一 个 人 情 。 换 言 之， 爱丽 丝 欠 下 一 笔 
债务 ， 未 来 终 将 偿还 给 鲍 动 。 爱 丽 丝 的 物质 需求 即刻 得 到 了 满足 ， 但 她 


希望 尽快 还 清 债务 ， 因 此 ， 她 勾 有 了 新 的 需求 。 然 后 ， 爱 丽 丝 又 过 到 了 
卡 岁 尔 ， 她 可 以 用 自己 的 食物 交换 卡 罗 尔 的 药品 ， 然 后 把 药品 给 鲍 动 。 
这 样 ， 她 就 偿还 了 债务 。 


对 比 而 言 ， 在 现金 体系 里 ， 爱 丽 丝 可 以 购买 鲍 动 的 工具 ， 然 后 把 食 
物 卖 给 卡 罗 尔 ， 卡 多 和 尔 再 把 药品 卖 给 鲍 艺 ， 完 成 整个 财 环 交易 。 只 要 每 
场 交 易 的 买方 有 充足 的 现金 ， 这 些 交 易 就 可 以 按 任 意 顺 序 发 生 。 当 然 ， 
最 终 的 结果 是 ， 看 上 去 现金 似乎 从 未 易 过 手 。 


很 难说 这 两 个 体系 哪个 更 优越 。 现 金 体系 首先 需要 现金 分 配 来 触 
否则 交易 无 法 发 生 。 信 用 体系 不 需要 这 样 ， 但 债权 人 需要 承担 债务 
人 不 偿还 债务 的 风险 。 


现金 还 可 以 让 我 们 知道 物品 的 准确 价值 。 物 物 交 换 时 ， 我 们 很 难说 
工具 和 药品 到 底 哪个 更 值钱 。 现 金 交 易 把 物品 的 价值 标 上 数字 ， 这 就 是 
为 什么 我 们 现在 将 这 两 种 体系 混合 使 用 ， 即 便 使 用 信用 ， 我 们 依然 用 现 
金 来 衡 量 所 需 偿 还 的 债务 金额 。 


这 些 观点 被 应 用 于 许多 场合 ， 特 别 是 用 户 在 进行 虚拟 物品 的 线 上 区 
易 时 。 例 如 ， 在 进行 点 对 点 〈peer-to-peer) 的 文件 分 享 时 ， 我 们 就 可 能 
遇 到 吃 白 食 的 人 ， 他 们 只 下 载 ， 不 分 享 。 进 行文 件 交 易 可 能 是 一 个 可 行 
的 解决 方案 ， 但 是 如 何 找到 两 个 相互 需要 对 方 文件 的 人 是 个 协调 上 的 难 
题 。 在 一 些 项 目 如 茧 佐 (Mojo “Nation) 和 学 术 构 想 如 卡 玛 (Karma) 
中 ， 用 户 自动 获得 一 定数 额 的 虚拟 货币 。 接 收文 件 时 ， 用 户 可 以 用 虚拟 
货币 文 付费 用; 同 其 他 用 户 发 送 文 件 时 ， 赚 取 虚 拟 货币 。 无 论 是 接收 还 
是 发 送 文 件 ， 一 个 或 者 多 个 服务 器 跟踪 记 录用 户 的 账户 余额 ， 而 且 可 以 
把 虚拟 货币 兑换 成 真实 货币 。 虽 然 莫 佐 项 目 在 推出 货币 兑换 功能 之 前 就 
消失 了 ， 但 它 算 得 上 是 我 们 现在 使 用 的 比特 流 (BitTorrent， 一 种 内 容 
分 发 协议 ) 和 塔 荷 (Tahoe-LAFS， 一 种 分 布 式 数据 存储 方式 ) 的 鼻 
祖 。 


网 络 信用 卡 的 浆 端 


许多 电子 文 付 方式 都 可 以 根据 信用 和 现金 这 两 个 基本 概念 进行 分 
类 。 比 特 币 显然 属于 现金 类 ， 但 我 们 先 来 谈 谈 信用 类 。 


信用 卡 交易 是 目前 主要 的 线 上 文 付 方式 。 如 果 你 在 亚马逊 这 样 的 网 
站 购 过 物 ， 那 么 你 应 该 很 清楚 流程 。 首 先 ， 输 入 你 的 信用 卡 信息 ， 点 击 
发 送 ， 亚 马 逊 收 到 这 些 信息 后 反馈 给 “系统 ”， 这 一 系统 包括 信息 处 理 
器 、 银 行 、 信 用 卡 公司 及 其 他 中 介 。 


然而 ， 如 果 使 用 贝 宝 交易 ， 那 么 你 体验 的 就 是 中 介 式 结构 风格 。 你 
和 卖家 之 间 存 在 一 个 中 介 公 司 ， 你 把 信用 卡 信息 发 送 给 中 介 公 司 ， 中 介 
公司 核准 交易 并 通知 卖家 ， 并 在 每 个 交易 日 结束 时 与 卖家 统一 结算 。 


这 一 结构 的 优势 是 ， 你 不 需要 提供 给 卖家 你 的 信用 卡 信息 ， 规 避 了 
安全 风险 。 你 也 无 须 回 卖家 提供 个 人 信息 ， 保 护 了 个 人 隐私 。 务 势 在 
于 ， 它 增加 了 复杂 性 ， 你 和 卖家 无 法 进行 直接 交流 ， 痢 得 在 中 介 公 司 开 
设 账户 。 


如 今 ， 我 们 已 经 习惯 在 网 络 购物 时 提交 个 人 信用 卡 信息 ， 至 少 已 经 
勉强 地 接受 了 这 一 点 。 我 们 也 习惯 了 网 络 公司 搜 集 我 们 的 网 络 购物 及 浏 
览 历 史 。 但 在 20 世 纪 90 年 代 ， 网 络 尚 是 新 兴 事 物 ， 数 据 加 密 协 议 刚 刚 兴 
起 ， 消 费 者 对 这 些 问 题 深 感 担 优 ， 对 网 络 购物 的 安全 性 并 不 信任 。 特 别 
是 ， 通 过 一 个 不 可 靠 的 渠道 ， 把 上 自己 的 信用 卡 信息 提交 给 不 知名 的 网 络 
商家 ， 这 在 当时 看 来 ， 几 乎 难以 置信 。 在 这 种 背景 下 ， 中 介 式 架构 在 当 
时 引发 了 诸多 兴趣 。 


1994 年 ， 第 一 虚拟 公司 (First Virtue) 成 立 。 它 是 一 家 较 早 成 立 的 
中 介 支 付 公 司 ， 也 是 最 早 设立 完全 虚拟 化 办 公 室 的 公司 之 一 。 顾 名 思 
义 ， 它 的 员工 遍布 全 国 ， 通 过 互联 网 沟通 。 


第 一 虚拟 公司 的 支付 体系 与 贝 宝 现在 的 体系 类 似 ， 只 是 早 于 后 者 很 
多 年 。 用 户 注册 ， 提 交 信 用 卡 信息 。 当 用 户 进行 网 络 购物 时 ， 商 家 把 详 
细 的 文 付 信息 发 送 给 第 一 虚拟 公司 ， 第 一 虚拟 公司 与 用 户 确 认 文 付 信 
恩 ， 确 认 无 误 后 批准 文 付 。 其 中 有 两 个 细节 值得 注意 : 第 一 ， 所 有 沟通 
都 通过 电子 邮件 。 那 时 网 页 浏览 喜 刚 刚 开 始 全 面 文 持 HTTPS 等 加 密 协 
议 ， 多 方 参与 增加 了 加 密 该 文 付 的 复杂 性 《〈“ 其 他 中 介 和 采用 把 信息 谍 入 
URL 链 接 或 者 在 HITP 上 定制 加 密 协 议 的 方式 ) 。 第 二 ， 用 户 有 90 天 的 
拒 付 期 ，3 个 月 之 后 卖家 才能 收 到 贷 球 。 现 在 ， 卖 家 可 以 立即 收 到 货 
球 ， 但 是 消费 者 依然 可 以 索 回 货款 或 者 对 信用 卡 账单 提出 申诉 。 在 这 种 
情况 下 ， 商 家 必须 把 货 球 退还 给 信用 卡 公司 。 


20 世 纪 90 年 代 中 期 ， 出 现 了 一 个 较 有 竞争 力 的 中 介 体系 ， 我 们 称 之 
为 安全 电子 交易 协议 (Secure Electronic Transaction， 简称 SET) 。 在 
SET 体系 中 ， 用 户 无 有 顷 把 信用 卡 信息 提供 给 商家 ， 也 无 顷 在 中 介 公 司 注 
册 账 户 。 进 行 网 络 购物 时 ， 用 户 的 浏览 器 会 将 交易 和 信用 卡 信 息 加 密 存 
储 在 电脑 上 的 应 用 程序 里 ， 只 有 中 介 能 够 解密 这 些 信 息 ， 甚 至 连 商 家 都 
不 能 。 这 样 ， 消 费 者 可 以 放心 地 把 加 密 过 的 信息 发 给 商家 。 商 家 再 把 这 
些 加 密 信 息 和 它们 自己 的 交易 信息 一 同 转 发 给 中 介 。 中 介 和 解密 你 的 信 
居 ， 与 商家 的 交易 信息 进行 对 比 ， 只 有 在 双方 信息 一 致 的 情况 下 ， 中 介 
才 会 批准 支付 。 


SET 由 维 桂 (VISA) 、 万 事 达 以 及 多 家 当时 重量 级 的 科技 公司 开发 
而 成 ， 包 括 网 景 (Netscape) 、IBM、 和 微软 、 威 瑞 信 (Verisign) 和 
RSA( 美 国 知 名 信息 安全 、 加 密 数 据 公司 )。 它 融合 了 多 个 方案 ， 成 为 一 
个 标准 性 体系 。 


一 家 叫 网 络 现金 《CyberCash) 的 公司 采用 了 SET 体系 。 这 家 公司 
在 很 多 方面 都 很 有 趣 。 它 们 的 产品 除了 处 理 信 用 卡 文 付 交 易 之 外 ， 还 包 
括 一 种 叫 作 网 络 币 〈CyberCoin) 的 数字 货币 。 这 是 一 种 小 额 文 付 系 
统 ， 用 于 文 付 小 额 消费 行为 ， 比 如 ， 用 户 可 以 用 网 络 币 文 付 几 美 分 在 线 


阅读 报纸 的 费用 。 这 也 就 意味 着 ， 用 户 账 户 里 的 网 络 币 余 额 一 般 都 在 10 
美元 以 内 。 但 是 ， 有 趣 的 是 ， 它 们 却 能 得 到 美国 政府 联邦 存款 保险 公司 
CFDIC) 对 每 个 账户 高 达 10 万 美元 的 投保 金额 。 


更 有 趣 的 是 ， 网 络 现金 公司 运行 时 ， 美 国政 府 限制 加 密 技 术 的 出 
口 ， 因 为 当时 加 密 技 术 被 认为 是 一 种 武器 。 当 然 ， 现 在 这 种 限制 已 被 废 
除 。 但 在 当时 ， 这 也 惑 意味 着 国外 用 户 无 权 下 载 包含 加 密 技 术 的 软件 。 
但 是 ， 网 络 现金 公司 得 到 美国 政府 的 特 批 ， 国 外 用 户 可 以 下 载 它 的 软 
件 。 政 府 给 出 的 解释 是 ， 从 网 络 现金 公司 的 软件 中 提取 加 密 技 术 远 比 从 
头 开 发 一 套 全 新 加 蜜 技术 要 难得 多 。 


最 后 ， 许 多 人 怀疑 网 络 现金 公司 与 其 他 为 数 不 多 的 几 家 公司 一 起 受 
到 千 禧 虫 感染 〈Y2K bug) ， 问 部 分 客户 重复 收费 。2001 年 ， 网 络 现金 
公司 破产 ， 其 知识 产权 被 威 瑞 信 收 购 ， 接 着 转卖 给 贝 宝 ， 贝 宝 屹 立 至 


今 


为 什么 SET 体系 行 之 有 效 ? 根本 原因 在 于 它 的 认证 机 制 。 认 证 就 是 
把 加 密 过 的 身份 ， 即 公 钥 (public key) ， 与 现实 身份 连接 起 来 。 网 站 要 
从 像 威 瑞 信 这 样 的 认证 授权 公司 获得 认证 ， 用 户 的 浏览 嚣 才 会 判定 它 是 
安全 的 (通常 会 显示 一 个 锁 形 状 的 图 标 〉。 网 络 现金 公司 和 SET 体 系 认 
为 ， 安 全 性 比 操作 的 便捷 性 更 重要 ， 因 此 ， 它 们 不 仅 要 求 服务 障 和 黄 
家 ， 还 要 求 客户 也 必须 获得 认证 。 获 得 认证 的 过 程 类 似 于 报税 一 样 烦 
琐 ， 因 此 ， 这 个 系统 简直 是 场 灾 难 。 几 十 年 来 ， 大 多 数 用 户 都 拒绝 使 用 
要 求 终 端 客 户 认 证 的 系统 ， 这 种 系统 只 会 出 现在 学 术 论文 里 。 比 特 币 巧 
妙 地 避 开 了 这 一 难题 ， 而 且 无 须 用 户 的 真实 身份 。 比 特 币 系统 通过 公 钳 
本 壬 来 辨别 用 户 喘 份 。 我 们 将 在 第 1 章 探讨 这 个 问题 。 


20 世 纪 90 年 代 中 期 ， 正 当 SET 体 系 标准 化 时 ， 万 维 网 联盟 (World 
Wide Web Consortium) 也 在 探索 如 何 将 金融 支付 方式 标准 化 。 它 们 试 
图 扩展 HITP 协 议 ， 这 样 ， 用 户 不 需要 其 他 软件 ， 通 过 浏览 右 就 可 以 完 
成 交易 。 事 实 上 ， 它 们 对 如 何 扩展 HITTP 协 议 提 出 了 一 个 总 体 方 案 ， 也 


给 出 了 一 个 用 户 文 付 案例 。 但 这 从 未 付 诸 实践 ， 整 个 扩展 框架 并 未 应 用 
于 浏览 器 中 。 近 20 年 后 ，2015 年 ， 联 盟 宣布 重新 考虑 扩展 计划 ， 这 次 ， 
比特 币 将 成 为 该 标准 化 进程 的 一 部 分 。 但 是 考虑 到 以 往 的 失败 教训 ， 我 
对 此 并 不 乐观 。 


从 信用 a 到 【加密 ) 现金 


现在 该 谈 谈 现金 体系 了 。 如 前 所 述 ， 将 现金 和 信用 进行 比较 ， 我 们 
发 现 ， 现 金 体系 需要 局 动 自 循环 ， 但 优势 在 于 ， 它 规避 了 买 家 拒 不 偿还 
债务 的 风险 。 此 外 ， 现 金 体 系 还 有 另外 两 个 优势 : 第 一 ， 更 好 地 确保 了 
用 户 的 匿名 性 。 信 用 卡 与 个 人 信息 绑 定 ， 因 此 ， 银 行 可 以 奶 碍 消费 者 的 
所 有 消费 记录 。 但 是 ， 如 果 使 用 现金 交易 ， 就 与 银行 无 天 ， 卖 家 也 无 须 
知道 消费 者 的 个 人 信息 。 第 二 ， 现 金 文 持 线 下 交易 ， 无 须 致电 第 三 方 获 
得 交易 批准 。 也 许 交 易 完成 后 需要 把 钱 存 入 银行 ， 但 这 要 容易 得 多 。 


比特 币 没 有 这 两 个 特点 ， 但 其 备 两 个 类 似 的 功能 。 它 的 匿名 性 比 不 
上 现金 。 用 户 在 使 用 比特 币 文 付 时 ， 无 须 使 用 目 己 的 真实 身份 ， 但 是 ， 
如 打 用 户 不 够 小 心 谨 导 ， 可 以 借助 公开 的 交易 账目 和 聪明 的 算法 查 出 用 
户 的 交易 记录 并 最 终 但 出 用 户 喘 份 。 我 们 将 在 第 6 章 展 开 这 个 复杂 又 有 
趣 的 比特 币 匿名 性 问题 。 


比特 币 并 不 完全 支持 线 下 交易 。 但 优点 是 ， 它 不 需要 中 央 人 处 理 器 ， 
而 是 依赖 点 对 点 网 络 ， 这 种 网 络 跟 互 联网 一 样 具 有 很 强 的 修复 能 力 。 我 
们 将 在 第 3 章 讨 论 “ 绿 色 地 址 ”和 小 额 支付 工具 ， 它 们 可 以 帮助 我 们 在 特 
定 条 件 和 特定 情境 下 进行 线 下 支付 。 


大 卫 : 乔 姆 (David Chaum) 在 1983 年 最 早 提出 把 加 密 技 术 运 用 于 现 
金 上 的 想法 。 我 们 可 以 拿 现 实 中 的 例子 来 帮助 理解 。 比 如 ， 我 癌 人 们 发 
放 纸 条 ， 上 面 写 着 “ 拿 到 此 条 的 人 可 以 来 我 这 里 领取 1 美元 ”。 假 设 人 们 


信任 我 不 会 食 言 而 且 我 的 签名 不 可 伪造 ， 他 们 束 可 以 像 银 行 汇票 一 样 流 
通 纸 条 。 事 实 上 ， 银 行 汇票 最 初 吏 是 商业 银行 发 放 的 文 付 承 诡 。 只 是 到 
了 近代 ， 政 府 才 开始 介入 ， 集 中 货币 供给 ， 用 法 律 手段 强制 要 求 银 行 免 
现 票 据 。 


我 可 以 通过 数字 签名 发 放电 子 纸 条 ， 但 那样 的 话 ， 又 会 遇 到 一 
个 “双重 支付 ”(double spending) 这 一 恼人 的 难题 : 收 到 表示 一 定金 额 
的 虚拟 货币 的 数据 时 ， 人 们 可 以 复制 该 数据 ， 然 后 传输 给 他 人 。 假 设 人 
们 的 复制 技术 足够 优秀 ， 我 们 难以 辨别 哪些 是 初始 数据 ， 哪 些 是 复制 
品 ， 那 么 ， 我 们 能 够 解决 * 双 重文 付 ?的 问题 吗 ? 


可 能 的 解决 方案 是 : 我 在 发 出 的 每 份 纸 条 上 印 上 一 串 独 特 的 序列 
号 。 当 别人 把 纸 条 给 你 时 ， 你 检查 一 下 我 的 签名 ， 然 后 打 电 话 给 我 ， 告 
诉 我 相应 的 序列 号 ， 询 问 印 有 这 个 序列 号 的 纸 条 是 否 已 被 使 用 过 。 如 果 
告诉 你 没有 ， 那 你 就 可 以 放心 地 收 下 这 个 纸 条 。 我 会 在 账本 上 记录 该 
纸 条 已 被 使 用 。 你 要 做 的 是 定期 把 收 到 的 纸 条 区 给 我 ， 我 会 再 给 你 相同 
数量 的 印 有 新 序列 号 的 纸 条 。 


这 个 方法 是 可 行 的 。 它 在 现实 中 施行 起 来 颇 为 烦琐 ， 但 在 网 络 上 却 
比较 简单 明了 ， 只 要 我 设置 一 合 服务 器 ， 用 筷 来 完成 签名 和 序列 号 的 记 
录 工 作 。 唯 一 的 问题 在 于 ， 因 为 难以 匿名 ， 它 很 难 称 得 上 古 真正 的 现 
金 。 不 管 是 发 行 还 是 兑现 纸 条 ， 我 都 可 以 把 序列 号 和 个 人 信息 一 同 记录 
在 案 。 这 也 就 意味 着， 我 能 够 退 踊 你 的 所 有 消费 行为 。 


错 姆 提供 了 一 个 创造 性 解决 方案 。 它 不 仅 能 够 保护 用 户 的 匿名 性 ， 
同时 还 杜绝 了 “双重 文 付 ”。 它 的 方法 是 : 我 给 你 一 张 纸 条 ， 你 把 它 的 序 
列 号 记录 下 来 ， 并 且 不 要 让 我 看 见 。 然 后 我 再 签名 ， 并 不 需要 知道 它 的 
序列 号 。 这 在 密码 学 里 被 称 为 * 育 签 ”(blind ”signature) 。 选 取 一 个 较 
长 、 随 机 的 序列 号 能 够 更 好 地 保护 你 的 利益 ， 因 为 这 样 的 序列 号 更 有 可 


能 是 独一无二 的 。 我 不 必 担 心 你 选取 一 个 使 用 过 的 序列 号 ， 因 为 这 样 你 
只 会 得 到 一 个 无 效 货币 而 遭受 损失 。 


这 是 第 一 个 真正 意义 上 的 电子 货币 方案 。 它 虽然 有 效 ， 但 必须 要 有 
一 个 大 家 信任 的 中 心机 构 管理 运行 的 服务 器 。 不 仅 如 此 ， 这 个 服务 器 还 
必须 参与 每 笔 交 易 。 如 果 服 务 器 停止 工作 ， 交 易 就 不 得 不 暂停 。 数 年 之 
后 的 1988 年 ， 乔 姆 与 两 位 蜜 但 学 专家 阿 莫 斯 :菲亚特 (Amos Fiat) 和 靡 
尼 : 纳 欧 尔 (Moni Naor) 合作 ， 提 出 线 下 电子 货币 的 概念 。 乍 看 上 去 这 
似乎 是 不 可 行 的 : 如 果 用 户 把 同一 个 电子 货币 支付 给 两 家 没有 连 入 同一 
个 网 络 或 与 同一 家 中 心机 构 合 作 的 不 同 商家 ， 它 们 怎么 能 够 发 现 并 阻止 
这 种 行为 呢 ? 


与 其 去 预防 双重 文 付 ， 不 如 关注 事后 当 商 家 重新 连 上 银行 服务 需 的 
时 候 如 何 察觉 。 这 才 是 比较 聪明 的 做 法 。 乘 坐 没有 网 络 连 接 的 飞机 时 ， 
如 果 你 用 信用 卡 消费 ， 真 正 的 转账 是 在 航空 公司 重新 连 上 网 络 之 后 才 友 
生 的 。 如 果 你 的 信用 卡 极 拒 付 ， 你 会 只 航空 公司 《或 你 的 银行 ) 一 笔 
钱 。 仁 细 想 想 ， 传 统 金融 体系 的 很 大 一 部 分 就 建立 在 如 何 检测 错误 和 损 
失 这 一 基础 之 上 ， 人 然后 才 是 收回 损失 或 惩 避 失误 方 。 如 果 你 给 茶 人 开 一 
张 个 人 文 票 ， 他 不 会 知道 这 笔 钱 是 否 真实 存在 于 你 的 账户 里 ， 但 当 他 去 
银行 免 现 时 被 银行 拒绝 ， 他 会 退守 你 的 责任 。 类 似 地 ， 如 果 线 下 电子 贷 
币 系 统 被 广泛 应 用 ， 国 家 应 该 制定 相关 法 律 ， 规 定 双重 文 付 属于 犯 徘 行 
为 。 


为 了 检测 出 双重 支付 ， 乔 姆 、 菲 亚 特 和 纳 欧 尔 三 人 提出 了 一 种 复杂 
的 加 密 机 制 。 简 而 言 之 ， 这 套 机 制 可 以 达到 以 下 目的 : 发 行 方 在 电子 贷 
币 中 以 加 密 方式 租 入 你 的 个 人 信息 ， 除 了 你 本 人 ， 包 括 银行 在 内 的 任何 
人 部 无 法 解密 。 你 用 电子 货币 消费 时 ， 接 收 方 会 随机 挑选 一 部 分 密码 要 
求 你 解密 ， 并 将 之 记录 下 来 。 这 种 解密 的 内 容 不 足以 暴露 你 的 吴 份 。 如 
末 你 用 同一 份 电子 货币 双重 文 付 ， 当 两 个 接收 方 都 去 银行 兑现 时 ， 银 行 
可 以 把 两 份 解密 的 信息 合 在 一 起 ， 最 终 几乎 可 以 衣 定 知道 你 的 号 份 。 


你 可 能 会 担心 ， 万 一 有 人 陷害 我 双重 支付 呢 ? 比 如， 你 支付 给 我 一 
份 电子 货币 ， 我 不 去 银行 部 现成 有 我 身份 加 密 的 新 数字 货币 ， 而 是 直接 


拿 着 你 给 的 货币 进行 重复 消费 。 不 必 担 心 ， 这 是 行 不 通 的 ， 因 为 我 在 用 
它 文 付 时 ， 接 收 方 会 要 求 我 解密 一 段 密码 ， 这 段 密 码 与 之 前 你 解密 的 那 
段 密 码 肯定 是 不 一 样 的 ， 因 此 ， 我 无 法 完成 这 一 解密 任务 。 


多 年 以 来 ， 许 多 密码 学 家 一 直 在 研究 并 完善 这 一 机 制 。 在 乔 姆 、 菲 
亚 特 和 纳 欧 尔 提出 的 构想 中 ， 假 设 一 枚 电子 货币 价值 100 美 元 ， 如 有 果 你 
想 买 一 个 价格 为 75 美 元 的 物品 ， 你 没 法 把 这 枚 货币 分 割 成 75 美 元 和 25 美 
元 。 你 只 能 去 银行 ， 把 价值 100 美 元 的 货币 兑换 成 现金 ， 再 拿 现 金 换 取 
价值 75 美 元 和 25 美 元 的 货币 。 但 是 ， 在 一 篇 论文 里 ，Tatsuaki Okamoto 
和 KazuoOhta 用 梅 克 尔 树 (Merkle trees) 建立 了 一 个 可 以 分 割 电 子 货 
的 系统 。 梅 克 尔 树 在 比特 币 里 还 会 出 现 ， 我 们 将 在 第 1 章 遇 到 它 。 这 个 
机 制 的 效率 还 有 很 大 的 提高 空间 。 特 别 是 ， 这 一 机 制 采 用 了 由 史 带 芬 : 
布 兰 德 斯 (Stefan Brands) 在 20 世 纪 90 年 代 ， 人 詹 : 卡 姆 实 (Jan 
Camenisch) 、 苏 珊 : 潜 博 格 (Susan Hohenberger) 、 安 娜 : 莉 斯 卡 亚 
(Anna Lysyanskaya)〉 在 2005 提 出 的 “ 零 知识 验证 ”(zero-knowledge 
proofs) ， 带 来 了 很 好 的 效果 。 在 第 6 章 ， 我 们 将 看 到 ， 零 知识 验证 也 同 
样 被 运用 于 比特 币 体 系 中 。 


继续 回 到 乔 姆 。 为 把 目 己 的 想法 商业 化 ， 他 于 1989 年 创立 数字 现金 
公司 〈DigiCash) ， 应 该 是 第 一 家 致力 于 解决 线 上 文 付 问 题 的 公司 。 数 
字 现 金 公司 比 我 们 之 前 提 过 的 第 一 虚拟 公司 和 网 络 现金 公司 早 了 整整 5 
年 。 数 字 现 金 系 统 使 用 的 现金 叫 电 子 现 金 ， 另 外 ， 它 们 还 有 一 个 名 
为 “网 络 资金 ”(cyberbucks)〉 的 系统 。 包 括 美 国 的 几 家 银行 和 分 兰 至 少 
一 家 银行 在 内 的 数 家 银行 ， 确 实 使 用 了 这 个 系统 。 这 可 是 远 在 比特 币 出 
现 之 前 的 20 世 纪 90 年 代 ， 可 能 会 让 一 些 比 特 币 推 党 者 大 吃 一 惊 ， 因 为 他 
们 认为 银行 是 慢 怕 科技 、 抵 制 创新 的 庞然大物 。 


当 你 需要 交易 时 ， 你 点击 一 条 由 资金 接收 方 友 回 的 链接 ， 跳 转 至 数 
字 现 金 网 页 ， 同 时 ， 会 开通 一 条 反 回 链接 连 回 你 的 电脑 。 也 惑 是 说 ， 你 
的 电脑 必须 能 够 接收 外 部 链接 ， 束 像 一 台 服 务 右 。 你 需要 拥有 自己 的 人 P 


地 址 ， 你 的 网 络 服务 提供 商 也 必须 允许 外 部 连接 。 如 果 连 接 成 功 ， 电 子 
现金 软件 会 在 你 的 电脑 上 运用 ， 然 后 你 再 批准 交易 ， 进 行 付 球 。 


乔 姆 的 数字 现金 技术 获得 了 几 项 专利 ， 特 别 是 它 使 用 的 让 签 技术 。 
外 界 对 他 的 行为 是 有 和 争议 的 ， 因 为 专利 妨碍 了 其 他 人 用 该 技术 进一步 开 
发 电子 现金 系统 。 但 是 几 位 经 常 在 一 个 叫 “ 网 络 朋 殉 ”(cyberpunks) 的 
邮件 组 里 互动 的 密码 学 专家 则 另辟蹊径 。 著 名 的 中 本 聪 〈Satoshi 
Nakamoto) 第 一 次 向 全 世界 宣布 比特 币 系 统 惑 是 在 一 个 邮件 组 里 ， 它 的 
前 身 就 是 网 络 朋 克 ， 这 绝 非 巧合 。 我 们 将 在 第 7 章 探 讨 网 络 朋 元 运动 及 
比特 币 的 起 源 。 


网 络 朋 克 的 几 位 密码 学 家 开发 出 了 一 种 名 叫 魔法 货币 (Magic 
Money) 的 类 似 于 电子 现金 的 产品 。 魔 法 货币 虽然 侵犯 了 电子 现金 的 专 
利 ， 但 因为 他 们 宣称 它 只 用 于 实验 目的 ， 因 此 并 未 被 禁止 。 麻 法 货币 是 
一 个 很 有 趣 的 软件 。 它 采用 纯 文 本 界面 ， 你 可 以 通过 电子 邮件 发 送 交 易 
信息 ， 只 需要 把 交易 信息 复制 粘贴 到 电子 邮件 并 发 送 给 其 他 用 户 就 可 以 
了 。 当 然 ， 你 需要 使 用 PGP(Pretty Good Privacy， 一 种 加 密 软 件 ) 等 终端 
对 终端 的 电子 邮件 加 密 软 件 ， 以 确保 信息 在 传输 过 程 中 的 安全 。 


随后 ， 本 : 劳 里 (Ben Laurie) 在 其 他 人 的 帮助 下 创立 Lucre 系 统 。 访 
系统 试图 用 一 种 非 专 利 技术 蔡 代 电子 现金 中 的 盲 签 ， 其 他 则 与 电子 现金 
系统 大 致 类 似 。 


另外 一 个 由 伊 恩 : 戈 德 堡 (Ian Goldberg) 提出 的 方案 则 试图 解决 无 
法 分 割 电 子 货币 换取 零钱 的 问题 。 他 的 思路 是 ， 当 你 没有 零钱 而 问 疝 家 
文 付 了 过 多 金额 时 ， 如 果 商 家 有 货币 ， 它 会 转 回 给 你 超额 文 付 的 部 分 。 
但 是 应 该 注意 到 ， 这 一 想法 带 来 匿名 性 问题 。 如 前 所 述 ， 在 电子 现金 系 
统 里 ， 付 蒜 人 匿名 而 商家 不 匿名 。 但 是 当 商 家 找 零 时 ， 商 家 实际 上 成 了 
付款 人 ， 因 此 他 们 是 匿名 的 。 从 你 收 到 商家 的 找 零 之 后 ， 你 需要 去 银行 
匈 现 ， 这 时 ， 你 又 是 不 匿名 的 。 这 一 系统 无 法 确保 用 户 的 匿名 性 ， 因 
此 ， 伊 恩 : 戈 德 堡 义 重新 设立 了 一 个 系统 ， 在 这 个 系统 中 有 不 同类 型 的 


货币 ， 能 够 确保 用 户 在 匿名 的 情况 下 既 能 消费 又 能 收 到 找 零 。 


为 什么 数字 现金 最 终 失 败 了 呢 ? 主 要 原因 在 于 它 没 能 说 服 银行 和 商 
家 使 用 它 。 因 为 使 用 这 一 系统 的 商家 不 多 ， 用 户 也 就 不 愿意 用 它 。 更 糟 
的 是 ， 它 并 不 或 没有 文 持 好 用 户 和 用 户 之 间 的 交易 ， 只 侧重 于 用 户 和 商 
家 之 间 的 交易 。 因 此 ， 商 家 不 接受 它 ， 这 个 系统 就 很 难 激发 其 他 人 的 兴 
趣 。 最 终 ， 数 字 现 金 败 给 了 信用 卡 公司 。 


另外 ， 比 特 币 既 文 持 用 户 和 商家 之 间 的 交易 ， 也 文 持 用 户 和 用 户 之 
间 的 交易 。 事 实 上 ， 比 特 币 体系 并 不 把 用 户 和 商家 区 别 开 来 。 比 特 币 的 
成 功 很 大 部 分 大 概要 归功 于 它 对 用 户 -用 户 间 交易 的 支持 。 从 一 开始 ， 
每 位 比特 币 用 户 都 可 以 发 给 其 他 用 户 ， 因 而 整个 比特 币 社区 都 努力 争取 
人 们 对 比特 币 的 文 持 ， 并 促使 商家 也 接受 它 。 


数字 现金 公司 的 最 后 儿 年 ， 它 试图 通过 防 侵入 硬件 来 预防 双重 文 
付 ， 不 再 把 重心 放 在 双重 支付 发 生 后 的 检测 上 。 在 这 套 系 统 里 ， 有 一 种 
叫 作 钱 包 或 者 类 似 于 卡片 的 设备 。 这 个 设备 会 记录 你 的 账户 余额 。 消 费 
之 后 ， 余 额 减少 ， 充 值 之 后 ， 余 额 增 加 。 这 个 设备 的 用 处 是 ， 没 有 人 能 
够 更 改 计 数 器 数额 ， 不 管 是 通过 物理 手段 还 是 电子 技术 。 因 此 ， 当 计数 
融 归 零 时 ， 倘 重 没 有 继续 充值 ， 用 户 都 无 法 消费 。 


许多 公司 推出 过 带 有 防 侵入 硬件 的 电子 现金 系统 。 数 字 现 金 后 来 与 
一 家 叫 CAFE 的 欧洲 公司 合作 。 另 一 家 叫 Mondex 三 的 电子 钱包 公司 也 是 
基于 这 个 想法 创立 的 ， 后 来 被 万 事 达 收购 。 维 萨 〈Visa) 也 有 类 似 的 系 
统 ， 名 为 维 院 货币 (VisaCash) 。 


在 使 用 电子 钱包 时 ， 使 用 者 既 持 有 一 张 智 能 卡片 ， 又 拥有 一 个 “ 读 
卡 器 ”(Cwallet unit) ， 两 者 均 可 进行 充值 。 使 用 者 之 间 直 接 可 以 互相 进 
行文 付 。 文 付 方 将 智能 卡 插入 读 卡 器 中 ， 钱 即 转 入 读 卡 器 。 接 受 方 将 卡 
插入 读 卡 器 ， 钱 束 转 入 第 二 次 插入 的 卡 里 。 这 一 过 程 交 换 的 是 数字 货 
币 ， 是 匿名 的 交换 流程 。 


Mondex 公 司 在 几 个 地 方 推广 其 技术 ， 其 中 一 个 城市 正好 离 我 的 家 
乡 安 大 略 省 圭 尔 夫 市 不 远 。 你 大 概 已 经 猜 到 ， 这 项 技术 并 没有 被 广泛 使 
用 。 主 要 原因 是 ， 电 子 Mondex 卡 片 跟 现金 类 似 ， 一旦 丢失 或 者 被 偷 ， 
钱 也 就 丢 了 。 更 有 甚 者， 如果 卡片 发 生 故 障 ， 或 者 读 卡 器 无 法 该 卡 ， 驶 
没 法 知道 卡 里 余额 是 多 少 。 这 种 事情 真正 发 生 时 ，Mondex 公 司 一 般 会 
目 担 损失 。 它 们 会 假定 卡 里 有 余额 并 赔偿 用 户 损 失 ， 这 上 自然 是 一 笔 不 小 
的 开 文 。 


此 外 ， 这 个 系统 里 的 钱包 反应 比较 慢 。 用 信用 卡 或 现金 支付 要 快 得 
多 。 商 家 都 不 喜欢 拥有 太 多 支付 终端 ， 对 它们 来 说 ， 一 个 信用 卡 POS 机 
就 够 了 。 多 重 原 因 加 在 一 起 导致 Mondex 公 司 的 失败 。 


尽管 如 此 ，Mondex 公 司 的 用 户 卡 是 有 小 心 片 的 智能 卡片 ， 这 项 技 
术 事 实证 明 是 相当 成 功 的 。 如 今 ， 在 很 多 国家 ， 包 括 我 所 在 的 加 拿 大 ， 
每 张 信 用 卡 和 借 记 卡 都 采用 了 智能 卡片 技术 。 它 们 的 目的 不 是 防止 双重 
支付 。 非 现金 技术 中 不 会 存在 双重 支付 的 问题 ， 因 为 银行 而 不 是 卡片 记 
录 你 的 账户 余额 和 可 用 信用 。 智 能 卡片 的 目的 是 用 于 认证 ， 也 就 是 说 ， 
它 为 了 证 明 你 知道 自己 账户 的 PIN。 虽 然 用 途 不 同 ， 早 在 银行 广泛 采用 
该 技术 之 前 ，Mondex 公 司 就 已 经 开始 运用 这 项 技术 。 


凭空 发 行货 币 


如 果 你 有 一 个 价值 100 美 元 的 电子 现金 ， 那 怎么 能 够 保证 它 的 确 价 
值 100 寺 元 呢 ? 数字 现金 给 出 的 答案 很 简单 : 要 想 获得 一 个 价值 100 美 元 
的 电子 现金 ， 你 必须 从 你 的 银行 账户 取现 100 美 元 ， 交 给 发 行 电子 现金 
的 银行 。 但 要 实现 这 个 目的 可 以 通过 不 同 的 方式 ， 不 同 的 公司 采取 的 方 
法 也 各 不 相同 。 设 想 一 个 小 概率 事件 : 如 果 一 个 政府 授权 茶 家 银行 发 行 
电子 货币 ， 和 攒 空 创 造 新 电子 现金 ， 会 怎么 样 呢 ? 网 格 现金 〈NetCash ) 
就 是 基于 这 一 假设 创立 的 ， 但 是 它 并 未 真正 实施 过 。 电 子 芮 金 〈E- 


Gold) 则 采用 一 套 完全 不 同 的 体系 ， 它 在 保险 库 中 存 入 一 定量 的 黄金 ， 
根据 黄金 价格 太行 电子 货币 。 一 家 名 为 数字 黄金 (Digigold) 的 公司 并 
不 完全 依赖 贡 金 ， 但 也 有 部 分 黄金 储备 。 


归根 结 抑 ， 这 些 方式 都 是 使 电子 货币 的 价值 随 美 元 或 东 种 特定 商品 
的 价值 而 浮动 。 如 果 美 元 价值 上 升 或 下 降 ， 你 的 电子 贷 币 价 值 束 相应 地 
上 升 或 下 降 。 妃 一 种 比较 激进 的 方案 ， 就 是 使 电子 货币 目 成 体系 ， 其 他 
货币 不 会 影响 其 发行 和 价值 。 


要 想 创 造 一 种 自由 浮动 并 且 具 有 真实 价值 的 虚拟 货币 ， 必 须要 设计 
出 某 种 具有 稀缺 性 的 东西 。 其 实 ， 正 是 因为 黄金 和 钻石 的 稀缺 性 ， 它 们 
才 会 成 为 货币 的 储备 。 在 虚拟 世界 ， 你 可 以 这 样 设计 你 的 系统 ， 即 虚拟 
货币 只 有 在 需要 花 一 段 时 间 解 决 了 一 定 的 数学 计算 (或 “ 谜 题 *?) 之 后 方 
可 和 生成， 这样 就 保证 了 稀缺 性 。 比 特 币 体系 中 的 “ 挖 矿 ” 就 是 这 样 的 ， 我 
们 会 在 第 5 章 详 细 探讨 。 


通过 解决 数学 计算 来 赋予 虚拟 货币 价值 ， 这 一 想法 并 不 新 鲜 。 早 在 
1992 年 ， 密 码 学 家 辛 提 亚 : 沃 克 〈Cynthia Dwork) 和 摩 尼 : 纳 欧 尔 (Moni 
Naor) 首次 提出 这 种 方案 ， 用 来 降低 垃圾 邮件 问题 。 设 想 你 每 次 发 送 邮 
件 时 ， 计 算 机 都 不 得 不 花 几 秒 钟 的 时 间 解 决 一 道 数学 计算 题目 。 如 果 你 
没 能 附 上 题目 的 答案 ， 收 件 人 的 邮箱 会 自动 忽略 你 发 来 的 邮件 。 对 于 普 
通用 户 ， 因 为 他 们 发 送 邮 件 的 频率 不 高 ， 不 会 带 来 太 大 抹 烦 。 但 对 于 想 
同时 发 送 成 干 上 万 垃圾 邮件 的 人 来 说 ， 解 决 大 量 的 数学 计算 几乎 是 不 可 
能 的 。1997 年 ， 亚 当 . 贝 元 〈Adam Back) 在 一 个 名 为 哈 希 现金 
CHashcash) 的 体系 中 采用 过 类 似 设计 。 


要 想 阻 止 垃圾 邮件 ， 这 些 数学 计算 必须 具备 一 定 的 特性 。 第 一 ， 垃 
圾 邮件 发 送 者 解 出 一 道 题 目 之 后 ， 不 能 把 这 个 答案 附 在 他 发 送 的 其 他 邮 
件 上 。 为 了 做 到 这 一 点 ， 每 封 邮件 会 对 应 一 个 数学 计算 题目 ， 题 目 内 容 
取决 于 发 件 人 、 收 件 人 、 邮 件 内 容 和 发 送 时 间 。 第 二 ， 收 件 人 无 须 重复 
解 题 的 烦 珊 过 程 ， 惑 可 以 轻松 地 检查 发 件 人 附 上 的 答案 。 第 三 ， 题 目 之 


间 应 是 相互 独立 的 ， 也 就 是 说 ， 解 决 一 道 题目 不 会 减少 解决 其 他 题目 所 
需 的 时 间 。 第 四 ， 随 着 人 硬件 性 能 的 提升 ， 解 决 数学 计算 变 得 越 来 越 快 、 
越 来 越 容 易 ， 收 件 人 必须 要 调整 他 们 收 到 的 答案 的 难度 。 通 过 密码 学 中 
的 哈 希 方程 (hash functions) 设计 的 题目 可 以 满足 以 上 要 求 ， 我 们 将 在 
第 1 章 学 习 它 。 


比特 币 使 用 的 数学 计算 与 哈 而 现金 的 基本 类 似 ， 只 是 进行 了 微小 的 
改进 。 比 特 币 能 做 的 比 哈 希 现金 多 得 多 ， 毕 竟 ， 要 解释 比特 币 需要 一 整 
本 书 呢 ! 我 之 所 以 提 这 些 ， 是 因为 哈 希 现金 的 创始 人 亚当 : 贝 元 曾经 说 
过 : “比特 币 只 是 把 哈 希 现金 进行 通货 膨胀 控制 得 到 的 延伸 产品 回 
了 。” 我 觉得 这 话 有 点 过 分 了， 就 像 说 :“ 特 斯 拉 只 是 在 轮子 上 加 上 电池 
[1 


正如 密码 学 里 任何 一 个 优秀 的 想法 一 样 ， 数 学 计算 题目 有 许多 变 
体 ， 每 个 变 体 具有 些微 不 同 的 特性 。 其 中 一 个 构想 来 自 维 莱特 
CRivest) 和 夏 马 尔 〈Shamir) ， 他 们 提出 了 RSA 加 密 系 统 (RSA 中 的 R 
和 S 分 别 为 Rivest 和 Shamir 的 首 字母 ) 。 研 究 哈 希 现金 之 后 我 们 发 现 ， 解 
决 一 系 列 数 学 计算 题目 的 成 本 就 是 解决 单个 题目 的 简单 厨 加 。 但 政府 发 
行货 币 时 ， 成 本 可 不 是 这 么 计算 的 。 单 是 纸币 上 的 防伪 技术 ， 政 府 就 需 
要 投入 巨大 的 初始 成 本 来 购买 设备 ， 施 加 安全 措施 等 。 但 是 一 旦 研发 出 
了 防伪 技术 之 后 ， 成 本 就 会 降低 ， 印 一 张 货 币 和 印 一 百 张 的 成 本 差别 并 
不 大 。 换 言 之 ， 发 行 纸币 的 固定 成 本 很 高 ， 但 浮动 成 本 很 低 。 维 莱特 和 
夏 马 尔 想 要 设计 的 数学 计算 题目 具有 类 似 的 成 本 结构 ， 这 样 ， 发 行 第 一 
个 电子 货币 需要 巨大 的 计算 量 ， 但 接 下 来 就 会 变 得 很 简单 。 他 们 的 设计 
也 运用 了 哈 希 方程 ， 但 使 用 方式 不 同 。 我 们 不 打算 讨论 他 们 的 详细 方 
案 ， 但 他 们 要 解决 的 问题 是 非常 有 趣 的 。 


人 们 为 什么 没有 广泛 使 用 哈 希 现金 来 阻止 垃圾 邮件 呢 ?” 也 许 是 因为 
垃圾 邮件 问题 还 没有 足够 严峻 。 对 大 多 数 人 来 次 ， 垃 圾 邮件 只 是 个 恼人 
的 小 问题 ， 并 没有 严重 到 他 们 愿意 用 计算 机 算 力 来 解决 它 。 现 在 ， 我 们 


有 了 垃圾 邮件 过 滤器 ， 能 够 有 效 地 阻挡 垃圾 邮件 。 另 外 一 个 可 能 的 原因 
是 ， 哈 希 现金 无 法 真正 阻止 垃圾 邮件 。 特 别 是 ， 现 在 大 多 数 垃圾 邮件 发 
送 人 通过 僵尸 网 络 ， 用 病毒 大 量 入 侵 他 人 电脑 ， 批 量 发 送 垃圾 邮件 。 他 
们 也 可 以 通过 这 些 电 脑 来 获取 哈 希 现金 。 所 以 ， 通 过 数学 计算 进行 限制 
的 想法 还 在 不 断 发 展 中 。 在 一 些 蔡 代 网 络 协议 的 构想 中 ， 如 小 型 LT 协 
议 〈MinimalLT) ， 我 们 还 可 以 看 到 这 一 思路 。 


把 一 切 信息 部 记录 在 数据 库 账 本 中 


区 块 链 是 比特 币 的 男 一 项 关键 搁 术 ， 它 像 一 个 数据 库 账 本 ， 安 全 记 
录 所 有 的 比特 币 交 易 信息 。 区 块 链 的 理论 基础 由 来 已 入， 可 以 退 溯 到 哈 
勃 (Haber) 和 斯 托 尔 内 塔 〈Stornetta) 在 1991 年 开始 发 表 的 一 系列 论 
文 。 他 们 提出 的 不 是 虚拟 货币 体系 ， 而 是 一 种 可 以 安全 地 对 数字 文件 进 
行 时 间 戳 记录 的 方法 。 时 间 惟 是 为 了 记录 文件 创建 的 大 概 时 间 。 更 重要 
的 是 ， 时 间 惟 可 以 准确 反映 文件 创建 的 先后 顺序 : 如 果 一 份 文 件 比 另 一 
份 文 件 更 时 创建， 可 以 从 时 间 戳 中 看 出 来 。 时 间 惟 的 安全 性 体现 在 文件 
的 时 间 惟 一 旦 生成 ， 无 法 更 改 。 


用 户 发 送 文 件 时 ， 哈 动 和 斯 托 尔 内 塔 设计 的 体系 能 够 回 客户 提供 时 
间 惟 服务 。 服 务 器 收 到 文件 时 ， 它 会 用 当时 时 间 和 指向 之 前 文革 的 链接 
或 者 指针 作为 签名 ， 来 签名 该 文件 并 产生 包含 签名 信息 的 认证 ， 见 图 
0.1。 这 里 所 说 的 指针 ， 指 癌 的 不 古 一 个 具体 地 址 ， 而 是 一 串 数 据 。 也 
就 是 说 ， 如 果 该 数据 被 更 改 了 ， 那 么 这 个 指针 也 就 自动 失效 。 在 第 1 
章 ， 我 们 将 学 习 如 何 使 用 哈 希 方程 来 创建 这 种 指针 。 


图 0.1 链接 的 时 间 心 
注 : 要 想 对 一 份 文件 进行 认证 ， 时 间 惟 服务 器 必须 包括 指向 之 前 文件 认证 的 哈 希 指 
针 ， 当 前 时 间 和 文件 内 容 本 身 ， 并 用 这 三 条 信息 来 对 文件 进行 签名 。 


这 种 协议 实现 的 效果 是 : 每 份 文件 的 认证 都 确保 了 上 一 份 文件 内 容 
的 完整 性 。 其 实 ， 反 复 运用 这 一 理论 : 每 次 认证 基本 上 都 保障 了 这 个 认 
证 点 之 前 的 所 有 文件 和 认证 的 完整 性 。 假 设 这 个 系统 中 的 每 个 用 户 都 能 
记录 包括 上 自己 的 文件 、 之 前 和 之 后 的 文件 的 认证 在 内 的 几 个 认证 信息 ， 
那么 合 起 来 ， 就 可 以 确保 整个 文件 系统 不 会 被 更 改 。 特 别 是 ， 文 件 的 先 
后 顺序 被 保存 了 下 来 。 


随后 的 一 篇 论文 提出 了 一 个 可 以 提升 效率 的 方案 : 不 必 单 独 链 接 各 
个 文件 ， 而 是 把 它们 集合 成 块 ， 然 后 在 一 条 链 中 链接 整个 块 。 在 每 个 块 
里 ， 文 件 通 过 树 状 结构 而 非 线 性 结构 的 方式 相互 链接 。 这 一 方法 减少 了 
在 整个 系统 中 查找 特定 文件 所 需 的 工作 量 。 图 0.2 展 示 了 这 一 混合 而 成 
的 体系 的 工作 方法 。 


图 0.2 高 效 的 链接 时 间 和 玲 
注 : 箭头 表示 哈 希 指针 ， 点 状 重 直线 表示 时 间 间 隔 。 


这 一 数据 结构 形成 了 比特 币 区 块 链 的 框架 ， 我 们 在 第 3 革 可 以 看 到 
这 一 点 。 比 特 币 将 它 进行 了 微妙 但 至 关 重 要 的 改进 ， 它 用 一 种 类 似 于 哈 
希 现金 的 协议 来 降低 在 区 块 链 里 增添 块 的 速度 。 这 种 改进 对 比特 币 的 安 
全 性 带 来 了 深远 而 有 益 的 影响 。 比 特 币 体系 通过 一 群 未 被 认证 过 的 节 
点 ， 即 “在 工 ”， 来 记录 事件 ， 不 再 需要 认证 过 的 服务 器 。 通 过 每 个 矿工 
而 不 是 普通 用 户 记录 块 的 信息 。 任 何人 都 可 以 通过 解决 数学 计算 ， 新 建 
块 ， 而 成 为 一 名 矿工 。 比 特 币 还 舍弃 了 签名 ， 只 依 徘 喻 希 指 针 来 确保 数 
所 结构 的 完整 性 。 最 后 ， 真 正 的 时 间 戳 对 比特 币 来 说 不 是 很 重要 ， 整 个 
系统 的 意义 在 于 根据 先后 顺序 记录 交易 信息 ， 并 确保 它 不 能 被 算 改 。 事 
实 上 ， 比 特 币 块 并 不 按 固 定时 间 表 产生 。 在 比特 币 系 统 里 ， 平 均 每 10 分 
钟 产 生 一 个 新 的 块 ， 单 相 邻 的 两 个 块 的 时 间 间 隔 会 有 较 大 的 差别 。 


比特 币 从 根本 上 融合 了 用 数学 计算 来 控制 新 币 的 产生 和 用 安全 的 时 
间 惟 来 记录 交易 信息 并 防止 双重 文 付 这 两 种 思路 。 在 比特 币 之 前 ， 有 人 
曾 提 出 过 ， 不 这 么 成 熟 但 也 融合 了 这 两 种 思路 的 方案 。 比 如 ， 戴 伟 
(Wei Dai) 在 1998 年 提出 的 B 币 (b-money) ， 任 何人 都 可 以 通过 一 个 
类 似 于 哈 希 现金 的 系统 创造 虚拟 货币 。 它 跟 比特 币 类 似 ， 也 有 一 个 点 对 
点 网 络 。 每 个 节点 维护 一 个 数据 库 账本 ， 但 它 不 同 于 比特 币 的 区 块 链 ， 
并 不 记录 全 部 交易 信息 。 每 一 个 节点 都 有 它 自 认为 是 准确 的 记录 每 个 人 
账户 余额 的 账本 。 


尼 元 :萨博 (Nick ”Szabo) 还 提出 一 个 类 似 的 方案 ， 名 为 比特 黄金 
(Bitgold) 。 陕 博 宣称 他 早 在 1998 年 束 有 了 创建 比特 黄金 的 想法 ， 但 直 
到 2005 年 才 在 博客 上 公开 发 布 。 我 之 所 以 提 这 件 事 ， 是 因为 《纽约 时 
报 》 记 者 纳 萨 尼 尔 : 波 普 (Nathaniel Popper) 曾 写 过 一 本 关于 比特 币 历 
史 的 不 错 的 书 ， 他 发 现 ， 公 开发 布 比特 黄金 的 那 篇 博文 的 发 表 时 间 被 修 
改过 ， 改 成 了 中 本 聪 正式 发 布 比 特 币 之 后 的 两 个 月 。 他 跟 许 多 观察 者 一 
样 ， 认 为 院 博 就 是 中 本 聪 ， 即 使 院 博 否 认 。 他 认为 ， 溺 博 修 改 博文 发 表 
时 间 束 是 证 据 ， 这 样 ， 后 者 就 可 以 掩 订 上 自己 在 比特 币 发 布 之 前 就 已 经 发 
明了 比特 黄金 这 一 事实 。 


但 这 一 证 据 并 不 可 信 。 仔 细 阅 读 博 文 ， 你 就 会 发 现 ， 隋 博 明 确 表示 
自己 在 1998 年 就 有 了 比特 黄金 的 想法 。 他 没有 试图 更 改 这 些 时 间 。 更 为 
合理 的 解释 是 ， 比 特 币 开始 流行 后 ， 他 把 那 扁 博文 置 项， 这 样 ， 人 们 束 
可 以 看 到 他 在 比特 币 之 前 就 有 了 类 似 的 构想 。 


比特 币 与 B 币 和 比特 黄金 有 很 多 重要 的 不 同 之 处 。B 币 和 比特 黄金 
通过 数学 计算 直接 创造 货币 。 任 何人 都 可 以 解 题 ， 答 和 案 本 喘 就 是 贷 币 。 
但 在 比特 币 体 系 中 ， 解 决 数学 计算 并 不 构成 货币 ， 只 是 确保 区 块 链 安 
全 ， 间 接地 在 有 限时 间 里 创造 新 货币 。 此 外 ，B 币 和 比特 黄金 午时 间 埠 
给 货币 的 创造 和 转账 签名 。 但 比特 币 不 需要 被 认证 过 的 时 间 稚 ， 它 只 是 
用 时 间 惟 来 保存 区 块 和 交易 的 先后 顺序 。 


最 后 ， 如 果 服 务 如 和 市 点 对 数据 库 账 本 的 记录 不 符 ，B 币 和 比特 黄 
金 并 没有 提供 一 个 明确 的 解决 方案 。 两 位 发 明 人 所 著 文 章 暗 示 的 解决 方 
案 是 ， 由 大 多 数 人 来 决定 到 搬 哪 个 是 对 的 。 但 是 ， 因 为 任何 人 都 可 以 用 
不 同 映 份 设置 一 个 或 一 百 个 节操 ， 这 个 解决 方案 并 不 可 靠 ， 除 非 有 一 个 
管理 员 来 监管 网 络 入 口 。 比 特 币 则 恰恰 相反 ， 如 采 攻 击 者 想 更 改 数据 ， 
他 必须 要 比 其 他 所 有 人 加 起 来 的 解决 数学 计算 的 速度 还 要 快 。 这 样 就 保 
证 了 安全 性 ， 还 可 以 让 我 们 量化 直观 地 看 到 整个 系统 有 多 安全 。 


B 币 和 比特 黄金 都 不 是 正式 发 布 的 体系 ，B 币 是 在 一 篇 发 表 在 邮件 
组 的 文章 中 提出 的 ， 比 特 黄金 则 是 在 几 篇 博文 中 提出 的 。 二 者 未 被 真正 
实施 和 广泛 应 用 。 不 像 比特 币 白 皮 书 ， 它 们 也 没有 给 出 详细 设 定 或 程序 
源 代码 。 二 者 都 涉及 可 能 无 解 的 右 干 问题 。 其 一 是 前 文 讨论 过 的 数据 库 
账本 不 一 致 的 问题 。 力 外 的 问题 是 ， 如 何 设置 创造 新 货币 的 数学 运算 的 
难度 ? 具有 同等 运算 能 力 的 人 硬件 随 厦 时 间 的 推移 越 来 越 便宜 ， 针 对 这 一 
问题 ， 比 特 币 采 用 了 周期 性 目 动 调节 运算 难度 的 机 制 。B 币 和 比特 黄金 
没有 这 样 的 机 制 ， 因 此 ， 它 们 的 货币 会 因为 创造 难度 降低 而 贬值 。 


天 于 中 本 聪 的 猜 讽 


你 大 概 知道 ， 中 本 聪 是 比特 币 创 造 者 的 化 名 。 他 的 真实 吴 份 依然 是 
一 个 谜团 ， 但 在 比特 币 早期 ， 他 还 是 比较 活跃 的 。 我 们 可 以 从 他 留 下 的 
这 些 印 记 中 ， 探 讨 一 下 他 本 人 ， 比 如 次 他 是 从 什么 时 候 开 始 研究 比特 币 
的 ? 我 们 谈论 过 的 那些 早期 构想 对 他 有 什么 影响 ?是 什么 在 激励 着 他 ? 


中 本 聪 说 他 从 2007 年 5 月 左右 开始 编写 比特 币 。 他 选择 匿名 并 不 表 
示 他 会 在 这 一 点 事情 上 说 诉 ， 因 此 ， 我 好 且 相 信 他 所 说 的 。 他 于 2008 年 
8 月 注册 域名 bitcoin.org。 同 时 ， 他 开始 给 一 些 他 认为 可 能 会 对 比特 币 感 
兴趣 的 人 发 送 邮 件 ， 阐 述 他 的 想法 。2008 年 10 月 ， 他 公开 发 表白 皮 书 ， 
解释 比特 币 协议 。 此 后 不 入 ， 他 又 公开 了 比特 币 的 源 代码 。 随 后 两 年 ， 
他 在 论坛 上 发 布 信 息 ， 与 许多 人 写 邮 件 交 流 ， 回 答 人 们 的 关切 。 在 编程 
方面 ， 他 对 源 代 码 进行 了 多 次 修改 。 他 和 几 位 开发 人 员 一 同 维护 源 代 
码 ， 修 复 补 丁 。2010 年 11 月 ， 别 人 逐渐 开始 接手 比特 币 项 目 ， 而 他 却 不 
再 出 现 。 


我 用 “他 ”来 表示 中 本 联 ， 但 其 实 我 并 不 知道 中 本 联 到 底 是 男性 还 是 
女性 ， 只 是 因为 中 本 联 是 个 男性 名 字 而 已 。 此 外 ， 我 认为 中 本 聪 古 一 个 
人 ， 而 非 一 个 团体 。 原 因 是 ， 仔 细 研 究 中 本 联 所 有 的 网 络 交 流 记 录 ， 在 
两 年 的 时 间 里 ， 一 个 团队 里 的 多 个 人 共用 一 个 账号 回复 邮件 ， 修 改 代 
码 ， 保 持 风格 、 语 气 和 内 容 一 致 ， 这 简直 难以 想象 。 更 为 合理 的 解释 
是 ， 展 现在 我 们 面前 的 中 本 联 的 所 有 行为 是 由 同一 个 人 完成 的 。 


此 外 ， 从 他 的 文章 和 所 打 的 补丁 来 看 ， 这 个 人 完全 了 解 比特 币 的 整 
万代 码 体 系 和 设计 细 市 。 我 们 有 理由 相信 源 代码 和 白皮书 由 同一 个 人 所 
写 。 最 后 ， 可 能 在 一 开始 有 人 帮助 过 中 本 聪 。 虽 然 如 此 ， 比 特 币 正 陈 发 
布 之 后 ， 我 们 可 以 看 到 ， 中 本 聪 在 得 到 帮助 之 后 ， 会 很 快 对 其 他 有 页 献 
的 帮助 者 表示 感谢 。 从 这 点 性 格 来 看 ， 他 应 该 不 会 在 接受 别人 的 帮助 之 
后 闭口 不 言 ， 故 意 误导 人 们 相信 比特 币 古 他 一 个 人 的 作品 。 


我 们 可 能 会 想 :“ 中 本 聪 知道 电子 现金 的 历史 吗 ? ”为 更 好 地 和 弄 清 楚 
这 个 问题 ， 我 们 可 以 看 看 他 在 比特 币 网 站 上 早期 发 布 的 白皮书 里 的 引用 
和 索引 。 在 白皮书 中 ， 他 引用 了 一 些 基 本 密码 学 和 概率 论 的 论文 ， 也 引 
用 了 我 们 之 前 所 讨论 的 时 间 惟 。 因 为 比特 币 里 的 区 块 链 与 他 所 引用 的 内 
容 相似 度 极 高 ， 自 然而 然 地 ， 我 们 会 认为 他 有 参考 别人 的 区 块 链 设计 。 
他 还 引用 了 哈 希 现金 ， 它 的 数学 计算 与 比特 币 的 非常 类 似 。 此 外 ， 他 还 
引用 了 B 币 。 随 后 ， 他 又 在 网 站 上 添加 了 比特 黄金 和 一 个 由 哈 尔 : 芬 尼 
(Hal Finney) 设计 的 重复 利用 计算 数学 方案 的 参考 索引 。 


但 是 ， 从 与 中 本 联 有 早期 交流 的 人 公开 的 邮件 来 看 ， 我 们 发 现 ，B 
币 是 在 亚当 :贝克 的 提议 下 才 加 入 比特 币 体 系 的 。 随 后 ， 中 本 联 给 B 币 的 
创造 者 戴 伟 发 邮件 。 从 邮件 中 可 以 看 出 ， 是 戴 伟 告诉 了 他 比特 黄金 。 因 
此 ， 油 发 中 本 聪 创造 比特 币 的 ， 并 不 一 定 是 这 些 方案 。 他 之 后 与 哈 尔 ; 
芬 尼 有 过 多 封 往来 邮件 ， 这 可 以 解释 他 为 什么 在 网 站 上 或 者 其 他 地 方 引 
用 了 芬 尼 的 成 果 。 


基于 上 述 信 息 ， 比 较 可 信 的 推 朵 是， 在 创建 比特 币 体系 时 ， 中 本 聪 
只 知道 电子 现金 、 哈 希 现金 和 时 间 惟 ， 认 为 只 有 这 些 与 比特 币 是 相关 
的 。 然 而 ， 等 他 知道 B 币 和 比特 黄金 的 时 候 ， 他 才 发 现 ， 这 两 个 也 与 比 
特 币 有 很 大 关系 。2010 年 ， 维 基 百 科 主 编 认 为 比特 币 不 值 一 提 ， 准 备 删 
除 比 特 币 词 条 。 中 本 聪 跟 另 外 一 些 人 讨论 如 何 编写 比特 币 词 条 ， 好 让 维 
基 百 科 接受 它 。 中 本 聪 建议 这 样 描述 比特 币 :“ 比 特 币 是 戴 伟 在 1998 年 
在 网 络 朋 克 中 所 提 到 的 B 币 构想 和 尼克 :萨博 提出 的 比特 黄金 的 具体 实 
现 。” 可 见 ， 中 本 联 这 时 确实 把 比特 币 看 成 二 者 的 延伸 或 具体 实施 ， 以 
便 更 好 地 解释 比特 币 的 工作 原理 。 


那么 ， 中 本 联 创 建 比特 币 时 ， 他 知道 其 他 体系 吗 ? 比 如 我 们 提 过 的 
齐 姆 的 电子 现金 和 信用 卡 方案 。 这 个 很 难 讲 。 我 们 找 不 到 他 了 解 它们 的 
证 据 ， 但 也 有 可 能 他 虽然 知道 ， 但 并 未 提 及 它们 ， 因 为 它们 与 比特 币 无 
关 。 比 特 币 采 用 了 完全 不 同 的 去 中 心 模式 ， 没 有 理由 去 提 已 经 失败 了 的 


中 心 化 体系 。 


中 本 聪 自己 也 表明 了 这 一 点 。 他 在 发 表 在 比特 币 论坛 里 的 一 篇 文章 
里 ， 曾 粗略 地 提 了 一 下 乔 姆 的 电子 现金 体系 。 他 当时 正在 写 一 篇 关于 
opencoin.org 的 文章 ， 他 说 他 们 似乎 在 “讨论 老 一 套 的 乔 姆 中 心 造 币 体 
系 ， 但 也 许 是 因为 他 们 别 无 选择 ， 也 许 他 们 会 对 新 的 方 癌 感 兴趣 。20 志 
纪 90 年 代 以 来 所 有 的 虚拟 货币 公司 全 都 失败 了 ， 这 导致 许多 人 对 这 一 行 
业 非 常 不 看 好 。 我 希望 ， 人 们 可 以 看 到 ， 这 些 系 统 之 所 以 失败 ， 显 然 是 
因为 它们 的 中 心 化 控制 这 一 特性 。 我 想 我 们 正在 首次 尝试 建立 一 个 去 中 
心 化 的 非 认 证 系统 。” 从 这 段 话 里 ， 我 们 可 以 清晰 地 了 解 到 中 本 聪 是 怎 
么 看 竺 之 前 的 系统 的 ， 特 别 是 ， 他 认为 比特 币 与 它们 是 不 同 的 。 去 中 心 
化 这 一 特性 确实 真正 让 比特 币 从 其 他 虚拟 货币 脱 额 而 出 。 


中 本 聪 写 下 的 另 一 段 话 上 暗示 他 不 是 学 术 派 人 士 。 大 多 数学 术 研究 者 
先 有 了 构思 ， 然 后 写 下 来 ， 再 把 自己 的 构思 付 诸 实施 。 中 本 聪 说 他 的 方 
式 截 然 相反 :“ 我 在 建造 比特 币 时 ， 其 实 是 倒 看 来 的 。 我 必须 写 下 所 有 
代码 ， 才 能 使 日 己 相信 我 是 可 以 解决 任何 问题 的 ， 然 后 我 才 写 下 理论 。 
我 认为 我 能 在 写 出 具体 设计 细节 之 前 就 可 以 公开 代码 。” 


中 本 聪 是 一 个 神秘 的 人 ， 值 得 一 提 的 是 ， 跟 所 有 人 一 样 ， 他 也 会 犯 
错 ， 也 无 法 预测 未 来 。 比 特 币 的 源 代码 和 设计 中 都 存在 很 多 漏洞 和 瑕 
竟 。 例 如 ， 比 特 币 体系 有 一 个 可 以 同 IP 地 址 肥 送 比特 币 的 功能 。 虽 然 当 
时 人 们 并 未 发 现 ， 但 现在 看 来 ， 这 一 设计 十 分 粳 糕 。 中 本 聪 在 构建 比特 
币 用 途 时 ， 他 主要 侧重 于 比特 币 在 互联 网 上 的 使 用 。 这 当然 是 比特 币 的 
主要 用 途 ， 但 并 非 唯一 用 途 。 他 从 未 想 过 ， 可 以 去 咖啡 店 用 比特 币 付 
钱 。 


了 解 了 虚拟 货币 的 历史 之 后 ， 我 们 可 能 还 存在 一 个 疑问 :“ 为 什么 
中 本 陪 要 匿名? ”有 许多 可 能 的 原因 。 首 先 ， 也 许 他 就 是 喜欢 这 样 。 许 
多 小 说 家 都 选择 匿名 ， 像 班 克 西 (Banksy〉 这 样 的 涂鸦 艺术 家 也 一 直 不 
公开 号 份 。 其 实 ， 在 中 本 聪 活跃 的 网 络 朋 死 社区 和 密码 学 邮件 组 ， 大 家 


都 普遍 及 用 匿名 方式 发 表 文 间 。 


此 外 ， 中 本 聪 选择 匿名 可 能 还 有 法 律 上 的 顾虑 。 上 自由 储备 〈Liberty 
Reserve) 和 电子 黄金 (e-Gold) 这 两 家 美国 公司 都 因为 非法 洗钱 春 上 了 
厂 烦 。2006 年 ， 目 由 储备 的 创始 人 之 一 担心 被 指控 洗钱 ， 逃 离 美 国 。 电 
子 黄金 的 创始 人 一 直 竺 在 美国 ， 但 其 中 一 位 创始 人 被 指控 洗钱 并 最 后 认 
罪 。 这 一 事件 正好 发 生 在 中 本 聪 创建 比特 币 网 站 并 公开 讨论 比特 币 的 前 
夕 。 纵 然 如 此 ， 许 多 人 都 创立 过 虚拟 货币 系统 ， 没 有 人 因为 法 律 顾虑 而 
选择 匿名 。 上 所 以 很 难说 这 到 底 是 不 是 他 选择 匿名 的 根本 原因 。 


值得 注意 的 是 ， 我 们 之 前 提 过 ， 电 子 现金 的 一 些 技 术 是 有 专利 保护 
的 。 网 络 朋 元 运动 担心 实施 电子 现金 系统 会 侵犯 这 些 专利 。 事 实 上 ， 有 
人 曾 在 网 络 朋 死 邮 件 组 发 表 文 章 ， 建 议 由 一 群 匿名 的 程序 员 来 架设 电子 
现金 系统 ， 这 样 ， 即 使 侵权 ， 也 碍 不 出 是 谁 。 但 是 ， 比 特 币 的 设计 与 电 
子 现金 的 专利 差别 很 大 ， 很 难 判定 比特 币 侵犯 了 它 的 专利 权 ， 也 许 中 本 
聪 选择 匿名 只 是 比较 谨 惰 。 叉 或 者 ， 他 是 受到 网 络 朋克 社区 里 程序 员 匿 
名 的 局 发 。 


许多 人 认为 中 本 聪 选择 匿名 是 出 于 个 人 安全 方面 的 考虑 。 众 所 周 
知 ， 他 早期 时 挖 矿 获 得 大 量 比特 币 ， 时 至 今日 ， 比 特 币 的 巨大 成 功 也 就 
给 他 带 来 了 巨额 财富 。 我 认为 这 个 原因 是 可 能 的 。 毕 竟 ， 选 择 匿 名 不 是 
一 时 的 决定 ， 而 是 一 贰 的 风格 。 尽 管 如 此 ， 这 可 能 还 不 是 他 一 开始 就 选 
择 匿名 的 原因 。 当 他 首次 使 用 中 本 联 这 个 化 名 时 ， 他 还 没有 发 布 白皮书 
和 源 代 码 ， 很 难 想象 他 那 时 就 能 够 预测 到 比特 币 后 来 会 取得 如 此 巨大 的 
成 功 。 其 实 ， 在 早期 ， 中 本 聪 对 比特 币 的 未 来 持 乐 观 且说 慎 的 态度 。 他 
明白 许多 之 前 的 答 试 都 失败 了 ， 比 特 币 最 终 也 可 能 失败 。 


十 :五 
结 I 


与 之 前 的 失败 答 试 相 比 ， 比 特 币 的 成 功 令 人 瞩目 。 和 它 有 许多 优秀 的 
创新 ， 例 如 区 英 链 和 去 中 心 化 实现 用 户 之 间 和 直接 交 易 的 模式 等 。 它 能 够 
有 效 地 确保 用 户 的 匿名 性 ， 虽 然 还 做 得 不 够 完美 。 我 们 将 在 第 6 草 详 细 
了 解 保 密 性 。 比 特 币 的 保密 性 从 茶 种 意义 上 来 说 做 得 不 如 数字 现金 那么 
好 ， 但 从 羽 一 个 角度 来 看 ， 它 的 保密 性 要 更 强 。 因 为 在 数字 现金 系统 ， 
只 有 消费 者 能 够 匿名 ， 商 家 则 不 能 。 比 特 币 为 消费 者 和 商家 《不 管 是 消 
费 者 还 是 商家 ) 提供 了 同等 程度 的 保密 性 。 


把 比特 币 和 我 们 之 前 讨论 过 的 虚拟 货币 系统 进行 对 比 ， 我 学 习 到 的 
经 验 教训 是 : 第 一 ， 遇 到 困难 时 不 要 轻易 放弃 。20 年 来 ， 人 们 在 开发 虚 
拟 货 币 的 道路 上 一 直 失 败 ， 但 这 并 不 意味 独 永 远 开发 不 出 一 套 成 功 的 体 
系 。 第 二 ， 要 愿意 折 中 受 协 。 如 果 你 想 把 保密 性 和 去 中 心 化 功能 做 到 完 
美和 极致 ， 可 能 就 必须 牺牲 其 他 的 功能 。 回 顾 比 特 币 的 发 展 史 ， 它 找到 
了 一 个 完美 的 平衡 点 。 它 的 保密 性 不 够 完美 ， 需 要 用 户 连 接 到 点 对 上 的 
网 络 ， 但 用 户 愿 意 接受 这 样 的 设 定 。 


最 后 ， 众 志 成 城 。 比 特 币 吸引 了 一 批 具 有 激情 的 用 户 和 开发 者 ， 他 
们 愿意 为 开源 技术 出 一 分 力 ， 这 与 之 前 由 公司 开发 的 虚拟 货币 很 不 一 
样 ， 后 者 的 支持 者 只 是 公司 内 部 员工 而 已 。 比 特 币 如 今 的 成 功 很 大 一 部 
分 是 因为 它 拥 有 一 个 庞大 的 生机 开 动 的 支持 群体 ， 他 们 共同 推动 科技 的 
发 展 ， 招 徕 客户 ， 说 服 商 家 灯 用 它 。 
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第 1 章 
密码 学 及 加 密 仙 币 概述 


所 有 货币 都 需要 通过 茶 种 方式 控制 供给 ， 并 需要 实施 各 种 安全 属性 
以 防止 其 缆 行为 发 生 。 融 法 定货 币 而 言 ， 中 央 银 行 这 样 的 机 构 控制 货 
供给 ， 并 在 实体 货币 上 加 上 防伪 标识 ， 这 些 安全 属性 提升 了 攻击 货币 的 
门槛 和 难度 ， 但 并 非 不 可 能 伪造 。 节 终 ， 执 法 部 门 仍 需要 介入 ， 以 防止 
货币 系统 规则 受到 破坏 。 


加 密 数 字 货 币 也 必须 采取 安全 措施 ， 以 防御 破坏 系统 状态 的 行为 ， 
同时 加 密 数 字 货 币 还 需要 防止 “ 混 涌 ”， 即 对 不 同 的 人 次 出 相互 矛盾 的 
话 。 例 如 ， 如 果 爱 丽 丝 〈Alice) 让 鲍 勃 〈《Bob) 确信 她 向 他 支付 了 一 个 
数字 币 ， 她 就 不 能 再 说 服 卡 罗 尔 〈Carol) ， 也 给 她 文 付 同 一 个 数字 
币 。 加 密 数字 货币 与 法 定货 币 的 不 同 在 于 ， 其 安全 规则 需要 完全 通过 技 
术 手 段 实 现 ， 而 非 依赖 于 中 央 机 构 。 


顾名思义 ， 加 密 货币 着 力 采 用 密码 技术 。 密 码 学 提供 一 个 将 加 密 货 


币 体 系 规则 编码 到 系统 本 身 的 机 制 ， 我 们 不 但 可 以 利用 密码 学 防止 对 系 
统 的 干扰 ， 并 且 能 够 避免 混 消 ， 也 能 用 其 将 新 货币 单位 创造 规则 编码 到 
数学 协议 中 。 为 了 能 够 深刻 理解 加 密 数 字 代 币 系 统 ， 我 们 需要 首先 探 完 
该 系统 所 依赖 的 密码 学 基础 。 


密码 学 是 一 个 高 深 的 学 术 领 域 ， 用 到 了 很 多 不 被 大 众 所 知 的 数学 理 
论 ， 并 且 其 理论 也 比较 复杂 。 幸 运 的 是 ， 比 特 币 只 运用 到 了 密码 学 中 少 
量 相对 较为 浅显 的 一 些 理论 。 在 本 章 中 ， 我 们 会 特别 讨论 一 下 密码 学 中 
的 哈 希 算法 〈Hash) 和 数字 签名 (digital signature) 技术 ， 这 两 个 基本 
概念 对 构建 一 个 加 密 数 字 货 币 系统 非常 关键 。 在 后 面 的 章节 中 ， 我 们 会 
介绍 一 些 更 复杂 的 密码 学 理论 ， 例 如 零 知 识 验证 〈zero-knowledge 


proof) ,这 个 概念 被 应 用 到 了 对 比特 币 网 络 的 拓展 和 改进 之 中 。 


在 学 习 了 必要 的 密码 学 基础 之 后 ， 我 们 将 讨论 如 何 用 这 些 密码 学 基 
础 构建 一 个 加 密 数 字 货 币 系统 。 在 本 章 末 尾 ， 我 们 会 列举 一 些 简单 的 加 
蜜 货币 案例 ， 来 曾 明 我 们 在 设计 中 遇 到 的 挑 成 。 


密 但 学 哈 希 函数 


我 们 需要 理解 的 第 一 个 密码 学 的 基础 知识 是 密码 学 哈 希 阔 数 ， 哈 希 
立 数 是 一 个 数学 函数 ， 具 有 以 下 三 个 特性 : 


国 其 输入 可 为 任意 大 小 的 字符 串 。 

国 它 产 生 固 定 大 小 的 输出 。 为 使 本 章 讨 论 更 具体 ， 我 们 假设 输 
出 值 大 小 为 256 位 ， 但 是 ， 我 们 的 讨论 适用 于 任意 规模 的 输出 ， 只 要 
其 足够 大 。 

图 它 能 进行 有 效 计 算 ， 简 单 来 说 就 是 对 于 特定 的 输入 字符 串 ， 
在 合理 时 间 内 ， 我 们 可 以 算出 哈 希 函数 的 输出 。 更 准确 地 说 ， 对 应 n 
位 的 字符 串 ， 其 哈 希 值 计 算 的 复杂 度 为 0 (n) 。 


这 些 特性 定义 了 一 般 哈 希 函 数 ， 以 这 个 函数 为 基础 ， 我 们 可 以 创建 
数据 结构 ， 例 如 哈 和希 表 。 我 们 将 只 专注 于 加 密 的 哈 希 函数 ， 要 使 哈 希 函 
数 达 到 密码 安全 ， 我 们 要 求 其 具有 以 下 三 个 附加 特性 : 《1) 碰撞 阻力 
《collision-resistance) ; 《2) 隐秘 性 (hiding〉; 《3) 谜 题 友好 
(puzzle-friendliness) 。 


我 们 会 仔细 研究 这 些 特性 ， 并 会 逐步 前 释 我 们 为 什么 需要 这 样 的 函 
数 。 学 习 过 密码 学 的 读者 可 能 会 注意 到 ， 我 们 这 里 对 于 哈 希 函数 的 论述 
与 一 般 的 密码 学 谍 程 会 有 所 不 同 ， 特 别 是 关于 迹 题 友好 。 在 一 般 密码 学 
中 ， 谜 题 友 好 并 非 加 密 的 哈 希 函数 的 一 般 要 求 ， 却 对 加 密 数 字 货 币 这 一 
特性 非常 有 用 。 


特性 1: 碰撞 阻力 


加 密 的 哈 硕 函数 的 第 一 个 特性 是 它 要 具有 碰撞 阻力 。 这 里 的 碰撞 指 
对 于 两 个 不 同 的 输入 ， 产 生 相 同 的 输出。 如 果 对 于 哈 希 函数 H()， 没 有 
人 能 够 找到 碰撞 ， 我 们 则 称 该 函数 具有 碰 揪 阻力 〈 见 图 1.1〉。 即 : 


碰撞 阻力 ”如果 无 法 找到 两 个 值 ，x 和 y，x 壮 y， 而 H(x)=H(y)， 则 
称 哈 希 号 数 H 具 有 碰撞 阻力 。 


HH (mw) =H (yy 


Vy 


图 1.1 哈 布 碰撞 

注 : X 和 y 分 别 是 不 同 输入 ， 当 作为 哈 硕 函数 的 输入 时 ， 会 产生 相同 的 输出 。 这 时 我 
们 就 说 这 个 函数 是 哈 希 碰撞 的 。 

注意 ， 我 们 说 没 人 能 找到 倍 撞 ， 并 不 表示 不 存在 人 页 撞 。 事 实 上 ， 通 
过 简单 的 计数 论证 (counting ”argument) ， 我 们 可 以 证 明 碰 撞 的 确 存 
在 。 哈 希 函 数 的 输入 空间 包含 所 有 长 度 的 任意 字符 串 ， 但 输出 空间 则 只 
包含 特定 固定 长 度 的 字符 串 。 因 为 输入 空间 比 输出 空间 大 《输入 空间 是 
无 限 的 ， 而 输出 空间 是 有 限 的 ) ， 一 定 会 有 输入 字符 串 映射 到 相同 的 输 
出 字符 串 。 实 际 上 ， 根 据 饮 间 原理 (Pigeonhole Principle〉， 我 们 可 以 
得 出 ， 必 然 会 有 大 量 可 能 的 输入 被 映射 到 任意 特定 输出 《〈 见 图 1.2) 。 


可 能 的 输出 


可 能 的 输入 


图 1.2 必然 的 碰撞 
注 : 因为 输入 的 数量 超过 输出 的 数量 ， 我 们 可 以 确定 某 一 个 输出 肯定 对 应 多 个 输 
A 


而 更 糟糕 的 是 ， 对 于 加 密 的 哈 希 函数 ， 我 们 虽然 说 应 该 找 不 到 合 
撞 ， 但 有 些 方法 是 能 保证 找到 碰撞 的 。 考 虑 以 下 对 应 于 一 个 256 位 输出 
大 小 的 哈 希 函数 ， 选 择 2%”?+1 个 不 同 数值 ， 计 算 每 个 数 的 哈 希 值 ， 并 检 
查 是 否 有 两 个 相等 的 输出 。 因 为 我 们 这 里 选择 的 输入 多 于 输出 ， 因 此 在 
应 用 哈 希 函数 时 ， 一 些 数 对 必 将 产生 碰撞 。 


使 用 上 述 方 法 一 定 能 找到 倍 撞 。 但 如 果 我 们 随机 性 地 选择 输入 ， 并 
计算 哈 希 值 ， 我 们 在 检验 第 2”6+1 个 输入 之 前 便 很 可 能 找到 碰撞 。 实 际 
上 ， 如 果 我 们 随机 选择 2230+1 个 输入 值 ， 找 到 至 少 两 个 等 同 哈 希 值 的 概 
率 为 99.8%。 仅 仅 通 过 检验 可 能 输出 数量 的 平方 根 次 数 ， 便 大 体能 找到 
碰撞 ， 这 一 事实 在 概率 学 中 被 称 为 是 生日 悖 论 (birthday paradox) 法 )。 


这 个 碰撞 检测 算法 对 每 个 哈 希 函数 都 有 效 ， 但 是 它 的 问题 是 其 计算 
需要 花 很 长 很 长 时 间 才 能 完成 。 对 于 一 个 256 位 输出 的 哈 希 函 数 来 说 ， 
最 坏 的 情况 是 你 需要 进行 22”6+1 次 哈 希 函数 计算 ， 平均 次 数 为 2128 次 ， 
这 简直 是 一 个 天 文 数字 一 一 如 果 一 台电 脑 每 秒 计算 10 000 个 哈 希 值 ， 计 
算 2128 个 哈 希 值 ， 需 要 花 10” 多 年 时 间 ! 换个 角度 ， 我 们 可 以 说 ， 如 果 


人 类 制造 的 每 台电 脑 在 整个 宇宙 起 源 时 便 开 始 计算 ， 到 目前 为 止 ， 它 们 
找到 碰撞 的 概率 仍然 无 穷 小 ， 比 下 两 秒 钟 地 球 将 被 大 陨石 摧毁 的 概率 还 


要 小 得 多 。 


因此 ， 为 了 寻找 一 个 任意 的 哈 希 函数 的 碰撞 ， 我 们 只 是 有 了 一 个 一 
般 ， 但 并 不 实用 的 算法 。 一 个 更 艰 涩 的 问题 是 : 有 没有 其 他 的 方法 ， 可 
以 用 于 对 于 某 一 特定 哈 希 函数 找到 磁 撞 ? 也 就 是 说 ， 虽 然 一 般 的 碰撞 测 
试 算法 不 适用 ， 但 仍 可 能 有 其 他 的 算法 ， 可 以 有 效 地 找到 茶 个 蛤 希 函 数 
的 磁 撞 。 


以 下 面 的 哈 希 函数 为 例 : 
H(x)=x mod 2256 


这 个 函数 接受 任何 长 度 的 输入 ， 产 生 一 个 固定 大 小 输出 (256 
位 ) ， 且 能 进行 有 效 计算 ， 因 此 符合 我 们 对 哈 希 函数 的 要 求 。 但 是 对 于 
这 个 函数 ， 我 们 确实 具备 一 个 有 效 的 能 够 寻找 碰撞 的 方法 。 注 意 ， 这 个 
函数 仪 返回 得 入 的 最 后 256 位 ， 因 此 ， 数 值 3 和 3+2“29 就 构成 了 磁 撞 三。 
这 个 简单 的 例子 表明 ， 虽 然 我 们 的 一 般 肆 撞 测 试 方法 在 实践 中 不 可 行 ， 
但 至 少 对 于 从 些 哈 硕 函数 ， 存 在 有 效 的 测试 碰撞 的 方法 。 


但 对 于 某 些 哈 希 函数 ， 我 们 无 法 确认 识别 碰撞 的 有 效 方法 是 否 存 
在 ， 我 们 只 是 怀疑 这 些 函 数 具 有 防 碰撞 特性 ， 但 是 我 们 已 经 证 明 ， 世 界 
上 没有 哈 硕 函数 具有 防 碰 撞 特 性 。 我 们 实践 中 依赖 的 加 密 的 哈 希 函数 仅 
仅 是 人 们 经 过 不 懈 努 力 之 后 暂 示 成功 找 到 碰撞 的 函数 。 因 此 ， 我 们 选择 
相信 那些 加 密 的 哈 希 函数 具有 哈 希 阻力 《〈 在 茶 些 情况 下 ， 如 之 前 的 MD5 
哈 布 函数 ， 在 多 年 的 努力 之 后 最 终 找 到 了 人 碰撞， 导致 该 函数 在 实践 中 被 
逐渐 淘汰 ， 最 终 修 弃 用 〉。 


应 用 : 信息 摘要 


现在 我 们 知道 什么 是 碰撞 阻力 了 ， 我 们 自然 会 问 : 碰撞 阻力 有 什么 
用 途 ? 以 下 就 是 一 个 应 用 : 哈 希 函数 H 具 有 碰撞 阻力 ，x 和 y 是 两 个 不 同 
的 输入 ， 那 么 可 以 假设 它们 的 哈 希 函数 H(x) 和 H(y) 也 不 同一 一 如 果 已 知 
x 和 y 不 同 ， 但 哈 希 值 相同 ， 那 么 H 具 有 磁 撞 阻力 的 假设 就 不 成 立 了 。 


这 个 论证 使 我 们 可 以 将 哈 希 输出 作为 信息 摘要 (message digest) 。 
以 SecureBox 为 例 ，SecureBox 是 一 个 允许 用 户 上 传 文件 ， 并 保证 文件 被 
完整 下 载 的 线 上 文件 存储 系统 。 假 设 爱丽 丝 上 传 了 很 大 的 文件 ， 并 希望 
能 够 在 之 后 下 载 时 确认 她 下 载 的 文件 与 她 上 传 的 文件 相同 。 一 种 方法 是 
将 整个 文件 进行 本 地 存储 ， 并 直接 将 其 与 下 载 文件 对 比 。 如 果 这 样 可 
行 ， 那 么 将 文件 上 传 便 显得 坚 无 意义 ， 倘 徊 爱丽 丝 需要 使 用 本 地 文件 副 
本 以 保证 其 完整 性 ， 她 可 以 直接 使 用 本 地 副本 。 


无 合 撞 哈 希 函数 为 这 个 问题 提供 了 简单 有 效 的 解雇 方法， 爱丽 丝 只 
需要 记 住 原文 件 的 哈 希 值 ， 从 SecureBox 下 载 文件 后 ， 她 可 以 计算 下 载 
文件 的 哈 希 值 ， 并 与 原文 件 哈 希 值 进行 对 比 。 如 果 哈 希 值 相同 ， 那 么 爱 
丽 丝 可 以 说 该 文件 就 是 她 上 传 的 那 一 个 ， 但 是 如 果 不 同 ， 她 则 可 以 确定 
文件 被 破坏 了 。 记 录 哈 希 值 可 以 帮助 爱丽 丝 检测 文件 在 传输 过 程 中 ， 或 
在 SecureBox 服 务 器 上 是 否 产 生 了 意外 损坏 ， 或 者 检测 文件 是 否 受 到 服 
务 器 的 蓄意 修改 。 保 证 主体 不 受 其 他 实体 的 恶意 行为 侵害 ， 这 正 是 密码 
学 的 核心 。 


这 里 的 哈 希 函数 对 于 一 个 信息 生成 固定 长 度 的 摘要 ， 或 生成 了 简明 
总 结 ， 这 为 我 们 提供 了 一 种 记 住 之 前 所 见 事物 ， 并 在 今后 认 出 这 些 事物 
的 有 效 方 法 。 虽 然 整 个 文件 可 能 非常 大 ， 存 储 规模 达 数 G， 但 其 哈 希 值 
的 长 度 固 定 。 例 如 ， 哈 希 函数 为 256 位 。 这 样 做 ， 极 大 地 降低 了 存储 要 
求 。 在 本 章 后 面 及 整 本 书 中 ， 我 们 都 会 看 到 哈 希 作为 信息 摘要 的 应 用 。 


特性 2: 隐秘 性 


我 们 希望 哈 希 函数 拥有 的 第 二 个 特性 是 其 隐秘 性 。 隐 秘 性 保证 ， 如 
果 我 们 仅仅 知道 哈 希 函 数 的 输出 y=HCO， 我 们 没有 可 行 的 办 法 算出 输入 
值 x。 问 题 是 ， 上 述 的 表示 形式 不 一 定 是 正确 的 。 考 虑 以 下 简单 的 例 
子 : 我 们 做 一 个 抛 硬币 的 实验 ， 如 果 抛 硬币 结果 为 正面 ， 我 们 会 宣布 字 
符 串 哈 希 为 “正面 "， 如 果 结 果 为 反面 ， 我 们 会 宣布 字符 串 哈 希 为 “ 反 
面 "。 


然后 我 们 问 我 们 的 对 手 ， 在 他 没有 见 到 抛 硬币 ， 而 只 见 到 哈 希 函数 
的 输出 的 前 提 下 说 出 哈 硕 函数 的 输入 字符 串 〈 很 快 我 们 就 知道 为 什么 要 
玩 这 个 游戏 了 ) 。 为 了 回答 问题 ， 对 手 会 简单 计算 “正面 ”字符 串 的 哈 希 
值 及 “反面 "字符 串 的 哈 希 值 ， 然 后 对 手 便 可 以 知道 他 得 到 的 是 哪 一 个 。 
这 样 ， 只 需要 几 步 ， 对 手 束 能 反 解 出 输入 值 。 


对 手 能 够 猜 出 字符 串 ， 这 是 因为 x 只 有 两 个 可 能 ， 他 可 以 很 轻易 地 
将 两 个 可 能 对 应 的 哈 希 值 计 算出 来 。 为 了 能 够 实现 隐秘 性 ， 我 们 需要 x 
的 取 值 来 自 一 个 非常 广泛 的 集合 ， 也 就 是 说 ， 仅 仅 通过 党 试 几 个 特定 的 
x， 就 能 找到 输出 值 的 方式 将 不 会 发 生 了 。 


现在 的 问题 是 : 在 类 似 抛 重 币 的 “正面 人 “反面 ?实验 中 ， 如 果 我 们 
想 要 的 反 解 的 输入 值 并 非 来 自分 散 的 集合 ， 我 们 是 否 还 能 得 到 隐秘 性 ? 
幸运 的 是 ， 对 于 这 个 问题 答案 是 肯定 的 ! 我 们 其 至 能 够 通过 与 男 一 个 较 
为 分 散 的 输入 进行 结合 ， 而 将 一 个 并 不 分 散 的 输入 进行 隐秘 。 现 在 我 们 
可 以 更 精确 地 表示 隐秘 的 含义 了 【〔 双 竖 线 | 为 连接 符号 ， 代 表 把 一 系列 
事件 、 事 情 等 联系 起 来 ) 。 


隐秘 性 哈 希 函数 H 具 有 隐秘 性 ， 如 果 : 当 其 输入 r 选 自 一 个 高 阶 
最 小 (high min-entroy) 的 概率 分 布 ， 在 给 定 H (r 上 x) 条件 下 来 
确定 Xx 是 不 可 行 的 。 


在 信息 论 中 ， 最 小 是 用 于 测试 结果 可 预测 性 的 手段 ， 而 高 阶 最 小 
烂 这 个 概念 比较 直观 描述 了 分 布 〔 如 随机 变量 ) 的 分 散 程度 。 具 体 来 
说 ， 在 从 这 样 分 布 中 取样 时 ， 我 们 将 无 法 判定 取样 的 倾向 。 举 个 具体 的 
例子 ， 如 果 r 是 从 长 度 为 256 位 的 字符 串 中 随意 选 出 的 ， 那 么 任意 特定 字 
符 串 被 选中 的 概率 为 223536， 这 是 一 个 小 到 几乎 可 以 忽略 的 取 值 。 


应 用 : 承 话 


现在 来 看 一 下 隐秘 性 的 应 用 。 有 具体 来 说 ， 我 们 把 想 做 的 事情 称 为 承 
诺 〈commitment) 。 这 里 承诺 是 一 个 数字 化 过 程 ， 可 以 类 比 为 以 下 动 
作 : 首先 选 定 一 个 数字 ， 将 数字 闭 进 信封 ， 然 后 将 该 信封 放 到 一 个 人 人 
都 看 得 到 的 园子 上 。 这 样 做 以 后 ， 可 以 说 你 就 信封 里 的 数字 做 出 了 承 
诺 ， 在 打开 信封 前 ， 虽 然 你 已 经 做 出 了 承诺， 对 其 他 人 来 说 它 还 是 秘 
密 。 在 之 后 ， 你 可 以 打开 信封 ， 来 展示 承诺 的 数值 。 


承诺 协议 一 个 承诺 协议 方案 由 两 个 算法 构成 : 

@ com:=commit (msg， nonce) ， 承 诺 荡 数 将 信息 (msg) 和 一 个 
临时 随机 数 《nonce) 作为 输入 ， 输 出 就 是 一 个 “承诺 ”。 

@ verify(conm, msg， nonce) ， 验 证 荡 数 将 菜 个 承诺 输出 
(com) 、 临 时 随机 数 (nonce) 及 信息 (msg) 作为 输入 ， 如 果 
com==commit (msg, nonce) ， 则 返回 “ 真 ” (true) ; 反之 则 返 
回 “ 假 ” (false) 。 

我 们 要 求 以 下 两 个 安全 特性 要 有 成立: 

图 隆 秘 性 : 已 知 com， 没 有 可 行 的 方法 找到 msg。 

@ 约束 性 : 没有 可 行 的 办 法 找到 两 组 (msg， nonce) 和 (msg”， 
nonce”)，msg 关 msg”， 而 commit (msg, nonce) ==commit (msg” ， 
nonce”)。 


为 了 使 用 承诺 方案 ， 我 们 首先 需要 产生 一 个 临时 随机 数 。 然 后 将 这 
个 临时 随机 数 与 承诺 信息 msg 一 起 代入 承诺 函数 ， 计 算 承 讶 函数 输出 值 
com， 然 后 公布 该 输出 。 这 个 过 程 束 如 同 将 封 好 的 信封 放 到 一 个 人 人 能 
看 到 的 更 上 那样 。 之 后 ， 如 采 我 们 希望 展示 之 前 的 承 诡 值 ， 我 们 首先 公 
布 用 于 产生 承 详 的 临时 随机 数 ， 并 公布 信息 msg。 此 时 任何 人 都 可 以 验 
证 这 时 公布 的 msg 是 否 为 之 前 承诺 ， 这 个 阶段 就 如 同 打开 信封 。 


对 于 每 次 的 承诺 值 ， 你 都 需要 选择 新 的 随机 值 ， 这 一 点 很 重要 。 
在 密码 学 中 ， 术 语 nonce 是 指 ， 该 取 值 只 能 使 用 一 次 。 


以 上 两 个 安全 特性 决定 了 这 一 算法 就 如 同 密 封 及 打开 信封 。 第 一 ， 
如 果 仅 仅 知 道 com， 即 承 诡 函 数 的 输出 ， 就 如 同 只 看 信封 并 不 能 得 到 信 
恩 内 容 ; 第 二 就 是 约束 性 ， 这 就 保证 了 你 一 旦 承诺 信封 内 的 内 容 ， 就 不 
能 再 改变 主意 。 也 就 是 说 ， 我 们 无 法 找到 两 个 不 同 的 信息 ， 当 你 在 承诺 
一 个 信息 后 ， 而 又 声称 你 承诺 了 另 一 个 信息 。 

我 们 如 何在 承 诡 协 议 中 保证 隐秘 性 和 约束 性 这 两 个 性 质 成 立 呢 ? 在 
讨论 这 一 点 之 前 ， 我 们 需要 讨论 如 何 执行 承诺 方案 。 我 们 可 以 通过 使 用 
加 密 的 哈 希 函数 来 达到 目的 ， 考 虑 如 下 承诺 协议 实施 方案 : 

commit(msg, nonce):=H(noncelmsg) 

其 中 ，nonce 为 长 度 为 256 位 的 临时 随机 数 。 

为 承 诡 一 段 消 县 ， 我 们 首先 生成 一 个 256 位 的 临时 随机 数 ， 然 后 将 
这 个 临时 随机 数 与 信息 链接 ， 并 返回 这 个 链接 值 的 哈 硕 值 ， 来 作为 承 话 


输出 。 为 了 便于 验证 ， 我 们 还 要 设 定 其 他 人 来 计算 一 下 临时 随机 数 与 信 
姑 链 接 之 后 的 哈 希 值 ， 比 对 一 下 计算 结果 是 否 与 承 话 输 出 相同 。 


再 来 看 一 下 我 们 的 承诺 方 采 要 求 的 两 个 特性 ， 如 果 我 们 将 承 话 和 验 


证 换 成 H(noncelmsg)， 那 么 这 些 特 性 就 变 成 : 


图 隐秘 性 : 已 知 H(nonce | msg) ， 没 有 可 行 方法 找到 msg。 
@ 约束 性 : 没有 可 行 方法 找到 两 对 (msg， nonce) 和 (msg”， 


nonce” ), msg 关 msg”， 而 H(nonce || msg)==H(nonce” ||msg”) 。 


承诺 的 隐秘 特性 正 是 我 们 要 求 喻 希 函 数 要 具备 的 隐秘 性 ， 如 果 将 一 
个 解密 钥匙 选 定 为 256 位 的 随机 值 ， 那 么 由 隐秘 性 得 出 ， 如 有 末 解 密 钥匙 
与 信息 链接 ， 那 么 仅仅 从 哈 希 函数 的 输出 中 恢复 信息 就 是 不 可 行 的 。 约 
束 性 隐 合 在 哈 而 函数 的 碰撞 阻力 特性 中 三， 如 果 哈 硕 函 数 具 有 全 撞 阻 
力 ， 那 么 我 们 将 不 能 找到 不 同 的 msg 及 msg 值 ， 而 
Hmnoncelmsg)=H(nonce'Imsg")， 如 果 这 种 情况 发 生 ， 将 构成 碰撞 。 


因此 ， 如 果 哈 希 函 数 H 具 有 碰撞 阻力 及 隐秘 性 ， 从 安全 特性 上 来 
讲 ， 这 个 承 诡 方 案 将 有 效 。 


特性 3: 谜 题 友好 


哈 希 函数 需要 的 第 三 个 安全 特性 为 迹 题 友好 特性 。 这 一 特性 较为 复 
杂 ， 我 们 首先 解释 该 特性 的 拉 术 要 求 ， 然 后 通过 举例 来 阐释 该 特性 的 意 
Xs 

直 党 上 ， 谜 题 友 好 可 以 这 样 解 释 ， 如 果 有 一 个 人 想 找到 y 值 所 对 应 


的 输入 ， 假 定 在 输入 集合 中 ， 有 一 部 分 是 非常 随机 的 ， 那 么 他 将 非常 难 
以 求 得 y 值 对 应 的 输入 。 


迹 题 友好 ”如果 对 于 任意 n 位 输出 值 y， 假 定 k 选 自 高 阶 最 小 录 分 
布 ， 如 果 无 法 找到 一 个 可 行 的 方法 ， 在 比 2" 小 很 多 时 间 内 找到 x， 保 


证 H(k x)=y 成 立 ， 那 么 我 们 称 哈 希 函数 H 为 迹 题 友好 。 


应 用 : 搜索 谜 题 


现在 ， 让 我 们 试想 一 个 应 用 以 阐释 谜 题 友 好 特性 的 意义 。 在 这 个 应 
用 中 ， 我 们 将 建立 一 个 搜索 谜 题 ， 该 谜 题 是 一 个 需要 对 庞大 空间 进行 搜 
索 ， 才 能 找到 解决 办 法 的 数学 问题 。 该 搜索 谜 题 没 有 捷径 ， 也 就 是 说 除 
了 搜索 庞大 的 空间 来 进行 求解 ， 别 无 他 法 。 


搜索 谜 题 搜索 谜 题 构 成 : 

@@ 一 个 哈 布 函 数 H。 

@ 从 高 阶 最 小 炳 分 布 选 出 的 一 个 取 值 ，id (我 们 称 其 为 迹 题 
ID) 。 

@ 目标 集合 Y。 

该 谜 题 的 解决 方法 为 一 个 解 ，x， 应 该 满足 以 下 公式 : 


H(idlx) EY 


这 个 直觉 是 : 如 果 H 有 一 个 n 位 输出 ， 那 么 它 的 可 能 取 值 有 22 个 。 解 
决 这 个 谜 题 要 求 找到 一 个 位 于 集合 Y《〈 通 常 比 所有 输出 值 集合 小 很 多 ) 
内 的 输出 值 ，Y 的 大 小 决定 了 迹 题 的 难度 。 如 果 Y 是 所 有 n 位 字符 串 的 集 
合 ， 这 个 谜 题 就 坚 无 意义 。 然 而 ， 如 果 Y 只 有 一 个 元 素 ， 那 么 这 个 谜 题 
难度 最 大 ， 谜 题 ID 取 目 高 阶 最 小 精 分 布 ， 这 个 事实 保证 了 求解 无 捷径 。 
反 过 来 ， 如 果 该 ID 的 确定 性 很 高 ， 那 么 有 人 可 能 会 作 浆 ， 比 如 通过 使 用 
该 ID， 事 先 对 谜 题 进行 求解 。 


如 琳 一 个 哈 希 函数 具备 谜 题 友好 特性 ， 这 就 意味 着 对 于 这 个 谜 题 没 


有 一 个 解决 策略 ， 比 只 是 随机 地 答 试 x 取 值 会 更 好 。 因 此 ， 如 果 我 们 要 
把 谜 题 做 成 很 难 解 决 是 可 以 的 ， 只 要 我 们 能 用 适合 的 随机 方式 生成 恋 题 
ID。 当 我 们 讨论 比特 币 采 矿 《〈 是 一 种 搜索 谜 题 ) 时 会 采用 这 一 思路 。 


安全 哈 希 算法 


我 们 讨论 了 哈 希 函数 的 三 个 特性 及 其 相应 的 应 用 。 现 在 ， 让 我 们 讨 
论 本 书 中 将 会 大 量 用 到 的 一 个 哈 希 函数 ， 安 全 哈 希 算法 (Secure Hash 
Algorithm 256， 简 称 SHA-256) 。 哈 希 函 数 有 很 多 ， 但 SHA-256 是 一 个 
主要 被 比特 币 世 界 采 用 ， 并 且 效 果 还 很 不 错 的 哈 希 函数 。 


回想 一 下 ， 我 们 要 求 哈 希 函数 可 以 用 于 任意 长 度 和 输入。 幸运 的 是 ， 
只 要 我 们 能 建立 一 个 用 于 固定 长 度 输入 的 哈 希 函数 ， 然 后 通过 一 般 方 
法 ， 就 可 以 将 接受 固定 长 度 的 哈 希 函数 转化 为 可 接受 任意 长 度 输入 的 哈 
希 函 数 ， 我 们 称 这 个 转换 过 程 为 MD (Merkle-Damgard) 变换 ，SHA- 
256 是 采用 这 种 变换 方法 的 常用 哈 希 函数 之 一 。 在 通用 术语 中 ， 这 种 基 
础 型 ， 可 用 于 固定 长 度 ， 有 具备 碰撞 阻力 的 哈 希 函数 被 称 为 是 压缩 函数 
(compression function) 。 经 过 验证 ， 如 果 基 本 压缩 函数 具有 全 撞 阻力 
的 特性 ， 那 么 经 过 转换 而 生成 的 哈 希 函数 也 有 具有 碰撞 阻力 。 


MD 变换 很 简单 。 比 如 压缩 函数 代入 长 度 为 m 的 输入 值 ， 并 产生 长 
度 短 一 些 为 n 的 输出 值 。 哈 希 函 数 的 输入 《可 为 任意 大 小 ) 被 分 为 长 度 
为 mn 的 区 块 。MD 变 换 运 作 过 程 如 下 : 将 每 个 区 块 与 之 前 区 块 的 输出 
一 起 代入 压缩 函数 ， 注 意 ， 输 入 长 度 则 变 为 m-n)+tn=m， 也 刚好 就 是 压 
缩 函 数 的 输入 长 度 。 对 于 第 一 个 区 块 而 言 ， 之 前 没有 的 区 块 ， 我 们 需要 
选取 一 个 初始 同 量 ( 见 图 1.3〉。 每 次 调用 哈 希 函数 ， 这 个 数字 部 会 被 
再 一 次 使 用 ， 而 在 实践 中 ， 你 可 以 直接 在 标准 文档 中 找到 它 。 最 后 一 个 
区 块 的 输出 也 惑 是 你 返回 的 结果 。 


SHA-256 了 水 数 利 用 了 这 样 的 一 个 压缩 函数 ， 这 个 压缩 函数 把 一 个 
768 位 的 输入 压缩 成 一 个 256 位 的 输出 ， 每 一 个 区 块 的 大 小 是 512 位 。 我 
们 可 以 通过 图 1.3 来 理解 SHA-256 的 工作 过 程 。 

512 位 比特 


信息 信息 信息 
(第 1 个 区 块 ) || (第 2 个 区 块 ) (第 n 个 区 块 ) 
256 位 比特 | 


256 位 比特 
/ 初始 ， 哈 希 
回 量 -一 一 函数 
、 > 


图 1. 3 SHA-256 哈 希 函 数 简 化 图 
注 : SHA-256 利 用 MD 变换 把 一 个 国定 输入 的 防止 碰撞 的 压缩 函数 变换 成 一 个 接受 任意 
长 度 输 入 的 叭 希 函 数 。 通 过 初始 化 向 量 的 补 位 ， 可 以 把 输入 变 成 512 位 比特 的 整数 


倍 。 


截至 目前 ， 我 们 已 经 讨论 了 哈 希 函数 、 密 码 学 上 使 用 具备 特性 的 哈 
希 函 数 、 这 些 特 性 的 应 用 ， 以 及 在 比特 币 世 界 中 使 用 的 一 类 特殊 的 哈 希 
函数 。 在 下 面 的 革 节 中 ， 我 们 将 讨论 通过 哈 希 函数 来 构建 比特 币 网 络 中 
的 更 为 复杂 的 数据 结构 。 


哈 币 函数 建 模 


哈 希 函数 是 密码 学 中 的 瑞士 军刀 : 它们 在 众多 各 有 具 特 色 的 应 用 中 
找到 了 一 席 之 地 。 这 种 多 功能 性 的 另 一 面 是 ， 为 了 保证 安全 ， 不 同 的 
应 用 会 要 求 不 同 的 哈 希 函数 特性 。 事 实 已 经 证 明 ， 要 确定 一 系列 哈 硕 
函数 特性 以 全 面 达成 可 证 安全 极度 困难 。 


本 书 中 ， 我 们 会 选 出 在 比特 币 和 其 他 加 密 数字 货币 中 ， 对 哈 希 函 
数 使 用 方式 很 重要 的 三 个 特性 。 即 使 在 这 个 范围 内 ， 并 非 所 有 这 些 特 


性 对 哈 希 函数 的 每 一 次 使 用 都 有 必要 。 比 如 ， 我 们 之 后 会 看 到 ， 谜 题 
友好 只 在 比特 币 采 矿 中 具有 重要 性 。 

安全 系统 设计 师 常 第 会 放弃 ， 并 且 把 哈 希 函数 建立 成 对 于 任意 一 
个 可 能 的 输入 ， 都 会 得 到 一 个 独立 的 随机 输出 的 函数 。 这 种 使 用 “ 随 
机 预言 模式 ”来 证 明 安全 的 做 法 在 密码 学 中 仍 具 和 争议。 不 论 在 这 个 辩 
论 中 你 的 立场 如 何 ， 在 建立 安全 系统 时 ， 当 我 们 应 用 哈 希 函数 基本 特 
性 ， 推 论 如 何 减少 安全 特性 的 数量 ， 都 是 宝贵 的 智力 训练 。 本 章 的 目 
的 便 是 帮 你 学 习 这 一 项 技能 。 


1. 生日 悖 论 是 指 ， 如 果 一 个 房间 里 有 23 个 或 23 个 以 上 的 人 ， 那 么 至 少 有 两 个 人 的 生日 


相同 的 概率 要 大 于 50%。 这 就 意味 着 在 一 个 典型 的 标准 小 学 班级 “30 人 )〉 中 ， 存 在 两 人 生 
日 相同 的 可 能 性 更 高 。 对 于 60 或 者 更 多 的 人 ， 这 种 概率 要 大 于 99%。 译 者 注 
2. 3 和 3+2236 对 2236 求 余数 之 后 ， 结 果 都 是 3。 一 一 译 者 注 
3. 结论 反之 不 成 立 ， 就 是 说 ， 我 们 可 以 找到 倍 撞 ， 但 都 不 是 满足 
H(noncelmsg)==H(nonce msg") 意 义 下 的 碰撞 。 例 如 ， 你 可 以 对 于 同一 个 信息 来 产生 满足 
同一 承诺 的 随机 数 ， 但 这 里 的 哈 希 函数 不 具备 碰撞 阻力 特性 。 


1.2 哈 布 指 针 及 数据 结构 


本 节 将 讨论 哈 希 指针 (hash pointer) 及 其 应 用 。 哈 希 指 针 是 一 种 数 
据 结 构 ， 这 种 数据 结构 在 我 们 即将 讨论 的 很 多 系统 中 都 很 有 用 。 人 简单 来 
说 ， 哈 希 指针 是 一 个 指 问 数据 存储 位 置 及 其 位 置 数 据 的 哈 希 值 的 指针 。 
一 个 普通 的 指针 可 以 告诉 你 数据 存储 的 位 置 ， 哈 希 指 针 不 但 可 以 告诉 你 
数据 存储 的 位 置 ， 并 且 还 可 以 给 你 一 种 方式 ， 让 你 验证 数据 没有 被 算 改 
过 ( 见 图 1.4) 。 


图 1.4 哈 希 指针 
注 : 哈 希 指针 是 一 个 不 但 可 以 指向 数据 存储 的 位 置 ， 还 可 以 明晰 菜 个 时 间 蕉 下 该 数 
据 的 哈 希 值 的 指针 。 
我 们 可 以 利用 哈 希 指针 构建 各 种 各 样 的 数据 结构 。 为 求 直观 ， 我 们 
可 以 把 原来 用 普通 指针 实现 的 数据 链表 和 二 又 查 找 树 通 过 哈 希 指针 来 实 
现 。 


区 块 链 


如 图 1.5 所 示 ， 我 们 通过 哈 希 指针 构建 一 个 链表 ， 我 们 将 这 个 数据 
结构 称 为 区 块 链 (block chain) 。 在 普通 链表 中 有 一 系列 区 块 ， 每 个 a 区 
块 既 有 数据 也 有 一 个 指 癌 上 一 个 区 块 的 指针 。 而 在 区 块 链 中 ， 上 一 个 区 
块 指针 被 置换 为 哈 希 指针 。 因 此 ， 每 个 区 块 不 仅 能 告诉 我 们 上 一 个 区 块 
的 值 在 哪里 ， 还 包含 了 该 值 的 摘要 ， 使 我 们 能 够 验证 那个 值 没 有 改变 。 
我 们 存储 链表 头 部 (the head of list) ， 即 一 个 普通 的 哈 希 指针 指向 最 近 
使 用 的 数据 区 块 。 


H (|) 


之 前 的 哈 茵 指针 
H 


( ) 
ea 
图 1.5 区 块 链 


注 : 通过 哈市 指 针 而 不 是 普通 指针 构建 的 一 个 链表 ， 我 们 把 这 个 链表 称 为 区 块 链 。 


之 前 的 哈 天 指针 
了 if) 


数据 


之 前 的 喻 看 指针 
HI 


数据 


区 块 链 的 一 个 应 用 就 是 “ 防 得 改 日 志 ”*。 也 就 是 说 ， 我 们 要 建立 一 个 
存储 很 多 数据 的 日 志 数 据 结构 ， 使 我 们 能 将 数据 附加 到 日 志 的 末尾 。 但 
是 如 果 有 人 算 改 日 志 前 面 的 数据 ， 我 们 可 以 检测 到 。 


要 理解 区 块 链 如 何 实现 这 一 防臭 改 特性 ， 我 们 先 看 一 下 如 果 对 手 要 
算 改 区 块 链 中 间 的 数据 会 发 生 什么 。 具 体 来 说 ， 通 过 这 种 方式 ， 对 手 的 
目的 是 让 只 记得 区 块 链 头 部 哈 希 指针 的 人 无 法 检测 到 复 改 行为 。 为 达到 
这 个 目标 ， 对 手 会 改变 茶 区 块 k 的 数据 。 既 然 数据 已 经 被 改变 ， 区 块 k+1l 
的 哈 希 值 〈 即 整个 区 块 k 的 哈 希 值 ) 将 不 会 区 配 。 记 住 ， 因 为 哈 希 函数 
具有 碰撞 阻力 ， 我 们 可 以 确定 新 的 哈 希 值 与 改变 后 的 内 容 不 会 匹配 。 
此 ， 我 们 会 检测 到 区 块 k 中 的 新 数据 以 及 区 块 kt1 中 的 哈 希 指针 的 不 一 致 
性 。 当 然 ， 对 手 可 以 继续 尝试 ， 并 通过 算 改 下 一 个 区 块 的 哈 希 值 掩 盖 这 


次 复 改 。 他 可 以 一 直 这 样 做 ， 但 是 当 他 到 达 链 表 的 头 部 时 ， 这 个 策略 将 
会 失败 。 上 县 体 来 说 ， 只 要 我 们 将 链表 头 部 的 哈 希 指针 存储 在 对 手 无 法 改 
动 的 地 方 ， 对 手 将 不 能 做 到 在 不 被 检测 到 的 前 提 下 ， 算 改 任何 区 块 ( 见 


图 1.6) 。 


H ( 


之 前 


数据 


关 指针 
) 


之 前 的 喻 而 指针 
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图 1.6 防 莫 改 日 志 
注 : 如 果 对 手 修 改 了 区 块 链 中 的 任意 部 位 的 数据 ， 那 么 将 会 性 致 下 一 个 数据 块 的 哈 
硕 指 针 不 正确 。 如 果 我 们 锁定 区 块 链 的 头 部 数据 ， 那 么 即使 对 手 修改 了 所 有 哈 硕 指 


针 使 其 与 修改 过 的 数据 一 致 ， 那 么 他 也 无 法 修改 头 部 数据 ， 从 而 我 们 就 可 以 检测 到 
自 改 行为。 

这 样 做 的 结果 是 ， 如 果 对 手 想 要 算 改 区 块 链 中 任意 地 方 的 数据 ， 为 
了 保证 整个 内 容 一 致 ， 他 需要 得 改 所 有 的 哈 希 指针 直至 最 开始 的 地 方 。 
他 最 终 将 磁 到 障碍 ， 因 为 他 不 能 算 改 链表 头 部 的 指针 。 这 样 ， 我 们 便 知 
道 ， 仅 通过 记 住 一 个 哈 和 希 指 针 ， 我 们 就 基本 记 住 了 整个 链表 的 防 算 改 哈 
硕 值 。 因 此 ， 我 们 可 以 搭建 一 个 包含 很 多 区 块 的 区 块 链 网 络 ， 链 表 头 部 


的 哈 希 指针 被 称 作 创 世 区 块 (genesis block) 。 


你 可 能 已 经 注意 到 了 ， 区 块 链 的 结构 与 我 们 上 一 市 见 到 的 MD 变换 
类 似 。 的 确 ， 它 们 很 相似 ， 同 一 个 安全 论证 对 于 两 者 都 适用 。 


梅 殉 尔 树 


男 一 个 我 们 可 以 用 哈 硕 指针 建立 的 有 用 的 数据 结构 是 二 叉 树 。 使 用 


哈 希 指针 的 二 又 树 也 叫 作 梅 克 尔 树 (Merkle trees)， 以 其 发 明 者 拉 尔 夫 ' 梅 
克 尔 (Ralph Merkle) 的 名 字 命 名 。 如 图 1.7 所 示 ， 假 设 我 们 有 很 多 包含 
数据 的 区 块 ， 这 些 区 块 束 构成 了 树 的 叶子 (节点 )。 我 们 将 这 些 数 据 区 
块 两 两 分 组 ， 然 后 为 每 一 组 建立 一 个 有 两 个 哈 希 指针 的 数据 结构 ， 每 个 
间 针 对 应 一 个 区 块 ， 这 些 数据 结构 束 构 成 了 树 的 下 一 个 层次 。 我 们 轮流 
将 这 些 区 块 组 两 两 分 组 ， 为 每 一 组 建立 一 个 包含 每 个 区 块 组 哈 希 指针 的 
新 的 数据 结构 。 以 此 类 推 ， 直 到 我 们 得 到 一 个 单一 区 块 ， 即 树 根 市 把 。 
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图 1.7 梅 克 尔 树 

注 : 在 梅 克 尔 树 的 数据 结构 中 ， 所 有 的 数据 区 块 都 被 两 两 分 组 ， 指 向 
的 指针 被 存储 在 上 一 层 的 父 节 点 (parent node) 中 ， I 节点 大 0 
组 ， 并 且 指 向 父 节点 的 指针 被 存储 在 上 一 层 的 父 节 点 中 ， 一 直 持 续 这 个 过 程 ， 直 到 
最 后 我 们 到 达 树 的 根 节点 。 

如 上 所 述 ， 我 们 要 记 住 树 最 前 面 的 哈 希 指针 。 我 们 现在 可 以 通过 哈 
希 指 针 回 济 到 列表 中 的 任何 位 置 ， 这 让 我 们 能 保证 数据 确实 未 经 算 改 ， 
正如 我 们 在 区 块 链 见 过 的 一 样 ， 如 果 对 手 算 改 了 树 底 部 的 一 些 数据 区 
块 ， 会 导致 上 一 层 的 哈 希 指针 不 匹配 ， 即 使 他 继续 算 改 这 个 区 块 ， 改 动 
数据 行为 将 最 终 传递 到 树 的 顶端 ， 而 此 时 ， 他 将 不 能 算 改 我 们 存储 的 哈 
希 指 针 。 因 此 ， 同 样 地 仪 仅 通 过 记 住 顶部 的 哈 希 指针 ， 任 何 企图 算 改 任 


何 数据 的 行为 都 会 被 检测 到 。 


隶属 证 明 


与 我 们 之 前 建立 的 区 块 链 不 同 ， 梅 元 尔 树 的 为 一 个 特点 是 它 可 以 实 
现 简 洁 的 隶属 证 明 。 假 设 菜 人 想 要 证 明 茶 个 数据 区 块 隶 属于 梅 元 尔 树 。 
同样 地 ， 我 们 只 记 住 树 根 节 点 ， 然 后 他 需要 展示 给 我 们 数据 块 信息 ， 以 
及 从 该 数据 区 块 通 癌 树 根 节点 的 那些 区 块 ， 我 们 可 以 忽略 树 的 其 余部 
分 ， 这 样 做 是 因为 这 些 区 块 已 经 足够 让 我 们 验证 通 往 树 根 节 点 过 程 中 所 
有 的 哈 布 值 。 其 工作 原理 图 解 参见 图 1.8。 


图 1.8 隶属 证 明 
注 : 为 了 证 明 某 个 数据 区 块 来 自 一 个 梅 克 尔 树 ， 我 们 只 需要 找到 该 数据 区 块 到 树 根 
节点 的 路 径 。 


如 果 整 哥 树 上 有 n 个 市 皮 ， 只 需要 展示 约 log(n) 个 项 目 ， 因 为 每 个 步 
又 仅 需 要 计算 子 区 块 的 哈 希 值 ， 验 证 过 程 需要 时 间 约 为 logCm。 因 此 ， 
即使 梅 元 尔 树 包含 大 量 的 区 块 ， 我 们 仍 可 以 在 相对 较 短 时 间 内 证 明 隶 属 
关系 。 因 此 ， 验 证 需要 花 的 时 间 和 涉及 空间 〈 树 节点 ) 与 ]og(n) 同 级 。 


一 个 排序 梅 元 尔 树 是 把 底层 的 数据 通过 人 条 些 排序 得 到 的 梅 元 尔 树 ， 


这 里 排序 规则 可 以 是 字母 表 排 序 、 词 典 排序 、 数 字 化 排序 ， 或 者 其 他 约 
定 的 排序 方式 。 


非 隶属 证 明 


有 了 排序 梅 元 尔 树 ， 我 们 可 以 在 一 个 对 数 复杂 上 度 的 条 件 下 验证 东 一 
个 数据 区 块 并 非 来 自 某 梅 均 尔 树 。 也 就 是 说 ， 我 们 可 以 证 明 某 个 特定 区 
块 不 属于 梅 元 尔 树 ， 而 我 们 只 是 简单 通过 展示 被 验证 区 块 之 前 的 区 块 路 
径 ， 以 及 被 验证 区 块 之 后 的 区 块 路 径 ， 就 可 以 达到 目的 。 如 果 之 前 、 之 
后 两 个 区 块 在 树 上 是 连续 的 ， 那 么 这 说 明了 被 验证 区 块 与 该 梅 克 尔 树 之 
间 是 非 隶 属 关 系 。 因 为 家 验证 区 块 确实 隶属 于 梅 元 尔 树 ， 它 需要 在 两 个 
条 目 之 间 ， 而 如 果 两 个 条 目 是 连续 的 话 ， 二 者 之 间 则 并 没有 空间 。 


我 们 讨论 过 在 链表 及 二 又 树 中 使 用 哈 希 指针 ， 但 更 广泛 地 说 ， 我 们 
可 以 在 任何 以 指针 为 基础 的 数据 结构 中 使 用 哈 希 指针 ， 条 件 是 数据 结构 
不 存在 循环 。 如 条 数据 结构 中 存在 循环 ， 那 么 我 们 将 不 能 使 万 有 哈 希 值 
得 到 匹配 。 想 一 下 ， 在 一 个 非 循 环 的 数据 结构 中 ， 我 们 可 以 在 徘 近 市 皮 
的 地 方 开 始 ， 或 者 在 没有 指针 的 数据 区 块 开始 ， 计 算 其 哈 希 值 ， 然 后 从 
后 往 前 进行 计算 。 但 是 在 一 个 有 循环 结构 的 网 络 中 ， 并 没有 一 个 根 市 
点 ， 可 以 让 我 们 去 退 漳 。 

因此 ， 试 想 另 一 个 例子 ， 我 们 可 以 建立 一 个 哈 希 指针 定 同 的 非 循环 
图 。 


我 们 能 够 在 该 图 中 非常 有 效 地 验证 隶属 关系 ， 同 时 也 方便 计算 。 这 
样 的 哈 希 指针 使 用 方式 是 一 个 常见 技巧 ， 在 分 布 数据 结构 中 、 在 本 章 后 
面 会 讨论 到 的 算法 中 以 及 本 书 中 都 会 反复 提 到 。 


1.3 数字 签名 


在 本 节 ， 我 们 将 讨论 数字 签名 〈digital signatures) 。 数 字 签 名 是 密 
码 学 中 的 第 二 个 重要 部 分 ， 该 理论 和 哈 希 函数 一 起 ， 为 我 们 后 面 讨 论 加 
密 货 币 莫 定 基 础 。 数 字 签 名 被 认为 是 对 纸 上 手 写 签名 的 数字 模拟 。 我 们 
对 数字 签名 有 两 个 特性 要 求 ， 使 其 与 我 们 对 手写 签名 的 预期 一 致 。 第 
一 ， 只 有 你 可 以 制作 你 自己 的 签名 ,但 任何 看 到 它 的 人 都 可 以 验证 其 有 
效 性 ， 第 二 ， 我 们 希望 签名 只 与 某 一 特定 文件 发 生 联 系 ， 因 此 该 签名 不 
能 用 于 表明 你 同意 或 支持 为 一 份 不 同 的 文件 。 对 于 手写 签名 来 说 ， 第 二 
条 束 如 同 确 保 别人 不 能 将 你 的 签名 从 一 份 文件 上 喜 下 来 ， 贴 到 男 一 份 文 
件 的 末尾 那样 。 


那 我 们 如 何 通 过 密码 学 来 构建 这 些 性 质 呢 ? 首先 ， 让 我 们 把 之 前 的 
直观 讨论 说 得 更 具体 一 些 ， 以 便 今后 可 以 更 好 地 论证 数字 签名 方案 ， 并 
讨论 其 安全 特性 。 


数字 签名 方案 由 以 下 三 个 算法 构成 : 

@ (sk， pk) :=generateKeys (keysize) generateKeys 方 法 把 
keysi ze 作为 输入 ， 来 产生 一 对 公 钥 和 私 钥 。 私 钥 sk 被 安全 保存 ， 并 
用 来 签名 一 段 消息 ; 公 钥 pk 是 人 人 都 可 以 找到 的 ， 拿 到 它 ， 就 可 以 用 
来 验证 你 的 签名 。 

@ sig:=sign(sk，message) 签名 过 程 是 把 一 段 消息 和 私 钥 作为 
一 个 输入 ， 对 于 消息 输出 是 签名 。 


@ isValid:=verify(pk，message，sig) 验证 过 程 是 通过 把 一 


段 消息 和 签名 消息 与 公 钥 作为 输入 ， 如 果 返 回 的 结果 是 真 ， 证 明 签 名 
属实 ; 如 果 返 回 的 结果 为 假 ， 证 明 签 名 消息 为 假 。 


我 们 要 求 以 下 两 个 性 质 有 效 : 
图 有 效 签 名 可 以 通过 验证 ， 即 : 
ver ify (pk，message，sign(sk，message) )==true 


@ 签名 不 可 伪造 。 


我 们 注意 到 generateKeys 和 sign 都 可 以 采用 随机 算法 。 的 确 ， 
generateKeys 最 好 是 随机 的 ， 因 为 它 需 要 为 不 同 的 人 生成 不 同 的 密 铀 ， 
而 verify 则 需要 是 确定 的 。 


现在 ， 让 我 们 更 详细 地 检验 我 们 要 求 数 字 签 名 方案 具备 的 两 个 特 
性 。 第 一 个 特性 很 直接 ， 那 吏 是 有 效 的 签名 必须 通过 验证 。 如 果 我 用 我 
的 密 钥 sk 签 普 了 一 条 消息 ， 之 后 有 人 试图 通过 使 用 我 的 公 钥 pk 验证 关于 
同一 条 消息 的 签名 ， 该 签名 必须 证 实 为 正确 。 这 个 特性 是 对 签名 有 效 的 


不 可 伪造 性 。 第 二 个 要 求 计 算 上 不 可 能 伪造 签名 。 也 就 是 说 ， 知 道 
你 公 钥 并 看 到 你 在 茶 些 信息 上 签名 的 对 手 ， 不 能 伪造 他 还 未 见 过 的 你 在 
其 他 信息 上 的 签名 。 这 一 不 可 伪造 特性 类 似 于 我 们 与 对 手 之 间 在 进行 一 
场 游戏 ， 游 戏 的 使 用 在 密码 安全 证 明 中 很 常见 。 


在 不 可 伪造 性 游戏 中 ， 对 手 会 声称 他 可 以 伪造 签名 ， 而 挑战 者 会 测 
试 他 所 说 的 话 《〈 见 图 1.9) 。 我 们 做 的 第 一 件 事 是 使 用 generateKeys 方 法 
生成 一 个 密 铀 ， 以 及 相应 的 公共 验证 公 钥 ， 我 们 将 密 钥 交 给 挑战 者 ， 然 
后 将 公 钥 交 给 挑战 者 以 及 对 手 。 因 此 ， 对 手 只 知道 公共 信息 ， 而 他 的 任 
务 是 试图 伪造 一 条 信息 。 挑 战 者 知道 密 钥 ， 因 此 他 可 以 签名 。 


(sk, pk) 


挑战 者 


PR 到 1 


人 -~ 
sign (sk, mi) 屋外 RE 
I 
M, sig Dg, 仆 
/| . 


M not in {mo, mi, ...} 


verify (pk, M, sig) 


如 果 是 正确 的 ， 黑 客 赢得 这 个 游戏 


图 1.9 不 可 伪造 性 游戏 
注 : 不 可 伪造 性 游戏 是 对 手 〈 黑 客 ) 和 挑战 者 一 起 玩 这 样 一 个 游戏 : 如 果 黑 客 可 以 
在 一 个 之 前 没有 见 过 的 消息 上 进行 签名 ， 那 么 黑客 就 赢得 这 个 游戏 ; 反之 ， 如 果 黑 
客 做 不 到 ， 挑 战 者 就 赢得 游戏 ， 从 而 可 以 证 明 这 个 数字 签名 方案 是 不 可 伪造 的 。 
直观 来 看 ， 这 个 游戏 的 设 定 与 真实 世界 条 件 一 致 ， 现 实 中 的 攻击 者 
很 可 能 可 以 从 潜在 受害 者 的 很 多 不 同文 件 中 看 到 有 效 人 签名 ， 攻 击 者 甚至 
还 可 能 操控 受害 者 签 普 一 份 看 起 来 无 害 但 对 黑客 有 利 的 文件 。 


为 了 将 这 一 点 建 模 到 我 们 的 游戏 中 ， 我 们 将 允许 黑客 选择 一 些 文件 
的 签名 ， 不 限时 长 ， 只 要 猜测 的 数量 合 情 。 合 情 猜 测 数量 的 意思 是 ， 我 
们 多 许 攻击 者 尝试 猜测 的 次 数 高 达 百 万 ， 但 数量 高 达 25 就 不 行 了 。 从 
渐进 性 角度 来 说 ， 我 们 允许 攻击 者 多 次 答 试 ， 答 试 次 数 可 以 是 一 个 密 钼 
大 小 的 多 项 式 函 数 ， 但 次 数 不 能 更 多 例如 攻击 者 不 能 以 指数 方式 猜 
测 ) 。 


一 旦 攻击 者 满意 他 所 看 到 的 签名 数量 ， 那 他 残 可 以 挑选 菜 条 信息 
M， 演 试 在 上 面 伪造 签名 。 对 M 的 唯一 限制 束 是 ， 它 必须 为 攻击 者 之 前 


未 在 之 上 看 过 签名 的 信息 (因为 很 明显 ， 攻 击 者 可 以 发 出 他 收 到 过 的 签 
名 ) 。 下 以 此 确定 攻击 者 生成 的 天 于 M 信 息 签名 在 
经 过 公共 验证 密 钥 验证 后 ， 古 个 属实 。 如 果 验 证 成 功 ， 攻 击 者 局 得 游 
戏 。 


不 论 对 手 使 用 什么 算法 ， 我 们 说 签名 方案 不 可 伪造 ， 当 且 仅 当 他 成 
功 伪造 信息 的 机 会 非常 小 一 一 小 到 我 们 可 以 假设 在 实践 中 从 不 会 发 生 。 


实践 中 的 考量 


要 将 算法 概念 转化 为 现实 中 可 执行 的 数字 签名 机 制 ， 我 们 还 需要 考 
虑 许多 实际 问题 。 例 如 ， 很 多 签名 算法 是 随机 的 (特别 是 比特 币 使 用 的 
算法 ) ， 因 此 我 们 需要 随机 性 的 良好 来 源 。 我 们 不 能 低估 这 一 点 的 重要 
性 ， 因 为 不 民 随 机 性 会 使 你 认为 安全 的 算法 变 得 不 安全 。 


另 一 个 实际 问题 是 关于 信息 大 小 。 在 实践 中 ， 你 能 够 签署 的 信息 大 
0 因为 真实 的 方案 将 在 位 数 长 度 有 所 限制 的 字符 串 中 运 

。 有 一 个 简单 的 方法 可 以 解决 这 个 限制 : 对 信息 的 哈 希 值 进行 签署 ， 
交 De 
函数 ， 那 么 我 们 可 以 有 效 地 签 普 任 何 长 度 的 信息 ， 只 要 我 们 的 签名 方案 
能 够 签署 256 位 的 信息 。 如 上 所 述 ， 我 们 可 以 将 信息 的 哈 希 值 作为 信息 
摘要 ， 哈 希 函 数 具有 碰 擅 阻力 ， 因此 这 种 方式 是 安全 的 。 


我 们 后 面 会 用 到 的 另 一 个 技巧 是 ， 
果 你 签 嗜 了 哈 希 指针 ， 那 么 该 签名 窗 盖 (或 者 说 保护 ) 整个 结构 一 一 
不 仅仅 是 哈 希 指针 本 号 ， 还 包括 哈 希 指针 指 癌 的 整 i 1 
果 俭 普 了 区 块 链 末 尾 的 哈 硕 指针 ， 其 结果 束 是 你 有 效 地 数字 签 普 了 整 条 
区 块 链 。 


椭圆 曲线 数字 签名 算法 


现在 让 我 们 来 看 一 下 具体 的 细节 。 比 特 币 使 用 的 数字 签名 方案 叫 作 
椭圆 曲线 数字 签名 算法 (ECDSA) 。 DO 十 旱 
前 DSA' 志 算法 利用 了 椭圆 曲线 的 升级 版 。 这 些 算法 经 过 了 数 年 的 细致 密 
码 分 析 ， 且 被 普遍 认为 是 安全 的 。 


更 具体 地 说 ， 比 特 币 使 用 ECDSA 算 法 ， 而 不 是 标准 椭圆 曲 
线 “secp256k1”[ 预 计 提 供 128 位 安全 保障 ， 即 打破 这 个 算法 的 难度 与 执行 
21%8 对 称 性 密 钥 运 算 (如 破解 哈 希 函数 ) 一 样 困难 ]。 虽 然 这 个 曲线 是 公 
开标 准 ， 但 除 比特 币 以 外 鲜 有 使 用 ， 其 他 使 用 ECDSA 的 应 用 《如 安全 
网 络 浏览 时 的 TLS 三 密 钥 交 换 ) 通常 都 使 用 更 常见 的 “secp256k1” 曲 线 。 
这 就 是 比特 币 的 一 个 古怪 之 处 ， 因 为 在 比特 币 系 统 早 期 实施 中 被 中 本 聪 
选 定 〈 人 参见 原版 前 言 ) ， 现 在 已 很 难 改变 。 


我 们 不 会 详细 地 讨论 ECDSA 的 原理 ， 因 为 这 涉及 一 些 过 于 复杂 的 
数学 知识 ， ee 如 果 你 对 ECDSA 感 
兴趣 ， 请 参见 本 章 末尾 延伸 阅读 部 分 。 虽 然 我 们 这 么 说 ， 但 对 于 了 解 各 
种 参数 也 许 会 很 有 必要 


个 人 密 钥 : 256 位 

公 钥 (未 压缩 ) : 512 位 
公 钥 (压缩 ) : 257 位 
待 签名 信息 : 256 位 


注意 ， 严 格 来 讲 ， 虽 然 ECDSA 只 能 签署 256 位 的 信息 ， 但 这 存在 问 
题 ， 因 为 信息 在 签署 之 前 总 是 已 经 经 过 哈 希 压缩 ， 因 此 ， 任 何 大 小 的 信 


使 用 ECDSA 时 ， 确 保 随 机 性 恨 好 来 源 至 关 重 要 ， 因 为 不 民 来 源 将 

可 能 导致 密 钥 信 息 的 泄露 。 这 一 点 不 难 理解 ， 如 果 你 使 用 了 不 良 随 机 来 
生成 密 钥 ， 那 么 该 密 钥 就 可 能 不 安全 。 但 是 ECDSA 的 古怪 就 在 于 ， 即 

使 你 仅仅 只 是 在 生成 签名 时 使 用 了 不 恨 随 机 ， 而 你 使 用 的 密 钥 完美 无 

缺 ， 你 的 个 人 密 钥 还 是 有 可 能 泄露 〈 熟 悉 DSA 的 人 都 知道 这 是 DSA 的 古 
怪 之 处 ， 但 并 不 针对 椭圆 曲线 ) 。 接 着 游戏 就 结束 了 ， 如 果 你 的 个 人 密 
钥 泄露 ， 对 手 就 可 以 伪造 你 的 签名 。 因 此 ， 我 们 在 实践 中 要 特别 注意 使 
用 恨 好 随机 来 源 ， 使 用 不 恨 随 机 来 源 是 安全 系统 的 一 个 常见 缺陷 。 


数字 签名 作为 密码 学 基础 ， 我 们 对 其 讨论 就 此 结束 。 在 下 一 节 ， 我 
们 将 讨论 对 打造 加 密 货币 会 带 来 帮助 的 一 些 数字 签名 应 用 。 


加 黎 货 币 及 加 窗 本 


如 果 你 一 直 在 期 待 比特 币 使 用 的 加 密 算 法 ， 我 们 可 能 会 让 你 失望 
了 ， 比 特 币 并 没有 使 用 任何 加 密 术 ， 因 为 并 没有 加 密 的 需要 。 加 密 术 
只 是 因为 现代 密码 学 而 变 得 可 能 成 为 众多 技术 中 的 一 个 ， 很 多 技术 
《如 承 诡 方案 ) 在 菏 种 程度 上 隐藏 信息 ， 但 是 与 加 密林 有 所 不 同 。 


1. DSA (Digital Signature Algorithm)， 电 子 签名 算法 。 一 一 译 者 注 
2; TLS (Transport Layer Security) ， 传 输 层 安全 协议 ， 用 于 在 两 个 通信 应 用 程序 之 间 提 
供 保密 性 和 数据 完整 性 。 译 者 注 


1.4 公 钥 即 身 份 


让 我 们 来 看 一 下 与 数字 签名 并 行 的 一 个 有 用 技巧 ， 基 本 想法 是 从 数 
字 签 名 模式 中 拿 出 一 个 公共 验证 密 钥 ， 并 将 其 与 一 个 人 或 一 个 系统 参与 
者 的 身份 对 等 。 如 果 你 见 到 一 条 消息 的 签名 被 公 钥 pk 正 确 验 证 ， 那 么 你 
可 以 认为 pk 就 是 在 表达 这 条 消息 。 你 真 的 可 以 将 公 钥 认为 是 参与 者 或 者 
系统 的 一 方 ， 他 可 以 通过 签 著 声明 而 发 布 声明 。 从 这 个 角度 来 说 ， 公 钠 
就 是 身份 ， 让 茶 人 能 为 pk 身份 及 声 ， 他 必须 知道 相应 的 密 钥 sk。 


将 公 钥 视 为 身份 的 一 个 结果 是 ， 你 可 以 随时 制定 新 的 身份 一 一 你 可 
以 简单 通过 数字 签名 方案 中 的 generateKeys 程 序 ， 生 成 新 的 密 钥 对 sk 和 
pk。Ppk 是 你 可 以 使 用 的 新 的 公共 喘 份 ，sk 是 相应 的 密 钥 ， 只 有 你 自己 知 
道 并 可 以 让 你 代表 身份 为 pk 发 声 。 在 实践 中 ， 你 可 能 会 使 用 pk 的 哈 希 作 
为 你 的 身份 ， 这 是 因为 公 钥 很 大 。 如 果 是 这 样 的 话 ， 为 了 验证 消息 来 自 
你 的 身份 ， 人 们 会 需要 验证 : (1) 你 的 身份 确实 是 pk 的 哈 希 ; (2) 信 
县 能 经 过 公 钥 pk 验证 。 


此 外 ， 在 默认 情况 下 ， 你 的 公 钥 pk 基本 上 看 起 来 是 随机 的 ， 也 并 没 
有 人 能 够 通过 检查 pk 发 现 你 的 现实 身份 “当然 ， 一 旦 你 开始 使 用 这 个 号 
份 发 表 声 明 ， 这 些 声 明 可 能 泄露 信息 ， 而 让 别人 将 你 的 真实 身份 与 pk 联 
系 起 来 。 我 们 很 快 会 更 详细 地 讨论 这 个 问题 )》。 你 可 以 生成 一 个 看 起 来 
随机 的 新 身份 ， 看 起 来 像 人 群 中 的 一 张 脸 ， 但 这 些 都 只 有 你 能 够 控制 。 


去 中 心 化 映 份 管理 


公 钥 和 私 钥 的 体系 ， 帮 助 我 们 引入 去 中 心 化 的 身份 管理 的 理念 。 你 


可 以 目 己 作为 用 户 注册 ， 而 无 须 到 一 个 中 央 机 构 注册 为 系统 用 户 。 你 不 
需要 别人 给 你 一 个 用 户 名 ， 你 也 不 需要 告诉 任何 人 你 会 使 用 什么 名 字 。 
如 果 你 想 要 新 的 身份 ， 可 以 随时 生成 一 个 ， 而 且 想 要 多 少 就 生成 多 少 。 
如 末 你 希望 拥有 五 个 不 同 的 名 字 ， 没 有 问题 ! 那 融 生 成 五 个 身份 。 如 果 
你 想 匿 名 一 阵子 ， 你 可 以 生成 一 个 新 的 喘 份 ， 使 用 一 段 时 间 ， 然 后 莽 之 
不 用 。 有 了 去 中 心 化 映 份 定 理 ， 所 有 这 一 切 都 变 得 可 能 。 事 实 上 ， 这 就 
古 比 特 币 对 得 映 份 的 方式 。 这 些 里 份 在 比特 币 语言 中 被 称 为 地 址 。 你 可 
以 常 利 听 到 地 址 这 个 词 ， 用 于 比特 币 或 加 密 货 币 相关 的 内 容 中 ， 而 地 址 
其 实 就 是 公 钥 的 哈 希 值 。 作 为 去 中 心 化 号 份 管理 方案 的 一 部 分 ， 它 就 是 
某 人 凭空 捏 造 的 一 个 身份 而 已 。 


安全 性 与 随机 性 


你 可 以 不 经 过 中 央 机 构 而 生成 一 个 吴 份 的 概念 可 能 看 起 来 有 怪 锦 
理 。 毕 竟 ， 如 果 有 人 刚好 就 生成 了 跟 你 一 样 的 密 钥 ， 他 不 就 能 偷 走 你 
的 比特 币 吗 ? 


我 们 给 你 的 回答 是 ， 别 人 生成 一 个 与 你 的 相同 256 位 密 钥 的 概率 
如 此 之 小 ， 在 实践 中 ， 我 们 不 需要 担心 它 会 发 生 。 总 而 言 之 ， 我 们 保 
证 这 种 情况 绝 不 会 发 生 。 

一 般 来 说 ， 与 新 手 的 直觉 不 同 的 是 ， 概 率 系 统 古 不 可 预测 且 难 以 
推理 的 ， 有 反面 的 和 常常 是 真 的 一 一 统计 学 理论 使 得 我 们 可 以 精确 地 量化 
我 们 感 兴趣 的 事件 的 概率 ， 并 对 该 系统 行为 做 出 自信 的 推论 。 

但 还 有 一 个 精妙 之 处 : 概率 保证 只 有 在 密 钥 为 随机 产生 时 为 真 。 
在 现实 系统 中 ， 随 机 的 生成 常常 是 薄弱 环节 。 如 果 两 个 用 户 的 电脑 使 
用 同样 的 随机 来 源 或 者 使 用 可 预测 的 随机 ， 那 么 理论 保证 不 再 适用 。 
所 以 ， 在 生成 密 钥 时 使 用 良好 随机 源 至 关 重 要 ， 以 确保 实践 保证 与 理 
论 保证 相符 。 


| 


乍 一 看 ， 去 中 心 化 身份 管理 可 能 极 具 匿 名 性 及 隐秘 性 。 毕 竞 ， 你 可 
以 自己 创建 一 个 看 起 来 很 随机 的 吴 份 ， 同 时 也 不 用 告诉 任何 人 你 的 真实 
身份 是 什么 。 但 事实 并 不 是 这 么 简单 ， 随 看 时 间 的 推移 ， 你 创建 的 喘 份 
会 做 出 一 系列 的 声明 。 人 们 看 到 这 些 声 明 便 知道 拥有 这 个 身份 的 人 做 出 
了 特定 的 一 系列 行为 。 他 们 能 够 开始 将 细 市 联系 起 来 ， 从 这 一 系列 的 行 
为 推断 出 你 的 真实 映 份 。 随 着 时 间 的 推移 ， 一 个 观 岁 者 可 以 将 这 些 事情 
联系 起 来 ， 并 推断 出 这 样 的 结论 :“ 天 ， 这 个 人 的 行为 好 像 乔 〈Joe) ， 
可 能 这 个 人 就 是 弄 。” 

换 句 话说 ， 在 比特 币 系统 中 ， 你 不 需要 明确 地 注册 或 揭露 你 的 真实 
吴 份 ， 但 是 你 的 行为 模式 本 身 可 能 是 可 识别 的 。 这 就 是 比特 币 等 加 蜜 贷 
币 的 基本 隐秘 性 问题 ， 我 们 将 会 在 第 6 草 专 门 讨论 这 个 问题 。 


1.5 两 种 简单 的 加 密 赁 


现在 ， 让 我 们 从 密码 术 过 渡 到 加 密 货币 。 我 们 之 前 的 密码 术 干 货 在 
这 里 束 要 开始 及 挥 作用 了， 今后 我 们 会 逐渐 看 到 各 部 分 之 间 如 何 相 互联 
系 ， 也 会 太 现 哈 希 函数 和 数字 签名 等 密码 程序 的 意义 。 在 本 市 ， 我 们 将 
讨论 两 种 很 简单 的 加 蜜 货币 。 当 然 ， 我 们 也 需要 学 习 本 书后 面 大 量 的 内 
容 ， 才 能 深刻 半 释 比特 币 本 身 的 运作 机 制 。 


高 飞 币 


第 一 个 是 高 飞 币 〈GoofyCoin， 此 币 的 创造 者 叫 高 飞 ) ， 它 应 该 是 
我 们 能 想到 的 最 简单 的 加 密 货 币 。 高 飞 币 只 有 两 个 规则 ， 第 一 个 规则 是 
指定 高 长 可 以 随时 创建 新 币 ， 且 这 些 新 创建 的 币 都 属于 他 。 


为 创建 新 币 ， 高 飞 生 成 一 个 他 之 前 从 未 生成 的 唯一 的 货币 编号 
CuniqueCoinID ) ， 并 建立 字符 串 “CreateCoin [uniqueCoinID]”。 然 后 ， 
他 使 用 秘密 签署 密 钥 计算 这 个 字符 串 的 数字 签名 ， 该 字符 串 与 高 飞 的 签 
名 就 构成 一 单位 币 。 任 何人 都 可 以 验证 该 新 币 包 含 高 飞 有 效 签名 ， 因 此 
该 新 币 为 有 效 币 。 


高 飞 币 的 第 二 个 规则 是 ， 拥 有 此 币 的 人 可 以 将 其 转 给 其 他 人 。 转 移 
一 只 币 不 是 简单 地 将 币 数据 结构 发 送 给 接受 者 ， 而 是 必须 通过 密码 程序 
来 完成 。 


假设 高 飞 想 把 他 创建 的 一 只 币 转 给 爱丽 丝 。 未 达成 这 个 目的 ， 他 需 
要 创建 一 个 新 的 声明 表示 “将 此 币 文 付 给 爱丽 丝 ”， 在 此 声明 中 “此 币 ? 束 


古 该 币 的 哈 希 指针 。 如 上 所 述 ， 吴 份 其 实 就 是 公 铀 ， 因 此 “爱丽 丝 ? 指 的 
就 是 爱丽 丝 的 公 钥 。 最 后 ， 高 飞 签 普 代 表 该 声明 的 字符 串 。 因 为 高 飞 是 
起 初 拥有 该 币 的 人 ， 他 必须 签 绕 花 挥 该 币 的 任何 交易 。 一 旦 由 局 飞 签 著 
的 代表 他 的 交易 的 这 个 数据 结构 存在 ， 爱 丽 丝 便 拥有 这 个 币 。 她 可 以 向 
任何 人 证 明 她 拥有 这 个 币 ， 因 为 她 可 以 展示 有 局 尺 有 效 签名 的 数据 结 

构 。 此 外 ， 它 也 指 问 曾 经 为 高 飞 所 有 的 一 个 有 效 币 。 因 此 ， 该 币 的 有 效 
性 及 所 有 权 在 系统 中 就 不 言 自 明了 。 


一 旦 爱丽 丝 拥有 了 这 个 币 ， 她 也 可 以 花 掉 它 。 为 达到 这 个 目的 ， 她 
创建 了 一 个 声明 表示 “将 这 个 币 付 给 鲍 勃 的 公 钥 ”， 此 时 “这 个 币 ? 就 是 她 
所 有 的 那个 币 的 哈 希 指针 。 当 然 ， 爱 丽 丝 要 签署 该 声明 。 任 何 看 到 这 个 
币 的 人 都 可 以 验证 鲍 勃 是 其 所 有 人 。 他 们 可 以 根据 哈 希 指针 链 追 溯 到 该 
币 的 创建 及 验证 每 一 个 步 又， 这 惑 是 其 合法 所 有 人 签 普 了 一 份 声明 表 
示 "“ 将 这 个 币 文 付 给 [新 的 所 有 人 ]」 ”， 详 见 图 1.10。 


爱丽 丝 用 私 钥 签名 


支付 给 鲍 勃 的 公 钥 的 哈 希 指针 


高 飞 用 私 钥 签 名 
支付 给 爱丽 丝 的 公 钥 的 哈 希 指针 


高 飞 用 私 钥 签 名 


造 币 [uniqueCoinID |] 


图 1. 10 高 飞 币 交 易 
注 : 该 图 示例 了 货币 创造 的 过 程 和 被 花费 过 两 次 的 过 程 。 


总 结 一 下 ， 高 飞 币 的 规则 是 : 


@ 高 飞 可 以 通过 签署 声明 表示 他 使 用 唯一 的 货币 编号 来 创建 一 
个 新 币 。 

图 币 的 所 有 人 可 以 通过 签署 声明 表示 “将 这 个 币 转 给 X” (其 
中 X 为 公 钥 ) ， 将 其 转 给 另 一 个 人 。 

@ 任何 人 都 可 以 验证 一 只 币 的 有 效 性 ， 跟 随 哈 希 指针 追溯 到 它 
是 由 高 飞 创建 ， 并 验证 过 程 中 所 有 签名 。 


当然 ， 高 飞 币 有 一 个 致命 安全 隐患 。 假 设 爱丽 丝 通过 把 她 签署 的 声 
明 发 送 给 鲍 勃 ， 即 将 她 的 币 转 给 鲍 邯 ， 但 并 没有 告诉 其 他 人 。 她 也 可 以 
创建 另 一 个 签名 ， 声 明 将 同样 一 只 币 转 给 了 得 克 〈Chuck) 。 对 于 碍 殉 
来 说 ， 这 看 起 来 是 一 个 完全 有 效 的 交易 ， 而 他 是 该 币 的 所 有 人 。 鲍 艺 和 
但 元 似乎 都 可 以 有 效 表 示 自 己 是 那个 币 的 所 有 人 。 这 个 就 是 所 谓 的 双重 
支付 (double spending) 一 一 爱丽 丝 将 同样 一 只 币 花 了 两 次 。 我 们 一 看 
就 知道 货币 是 不 能 这 样 花 的 。 


事实 上 ， 双 重文 付 是 任何 加 密 货 币 需 要 解决 的 主要 问题 之 一 ， 局 飞 
币 没有 解决 这 一 问题 ， 因 此 不 安全 。 


高 飞 币 很 简单 ， 其 货币 转移 机 制 其 实 与 比特 币 非常 相似 ， 但 是 因为 
它 并 不 安全 ， 因 此 并 不 适合 作为 加 密 货 币 。 


财 妈 币 


为 解决 双重 文 付 问题 ， 我 们 会 涉及 另外 一 个 加 密 货 币 ， 我 们 将 其 称 
为 财 妈 币 〈ScroogeCoin) 。 财 奴 币 是 以 高 飞 币 为 基础 创建 的 ， 但 在 数 
据 结 构 方面 更 复杂 。 


第 一 个 主要 概念 如 下 : 一 个 叫 财 奴 的 指定 实体 将 负 贡 公布 包含 所 有 


发 生 过 的 交易 历史 记录 的 仅 增 账目 append-only ledger) ， 账 目的 仅 增 
特性 保证 了 写 入 这 个 账目 的 任何 数据 都 会 永久 保留 下 来 。 如 果 账 目 真 的 
为 仅 增 ， 通 过 要 求 所 有 的 交易 在 被 接收 前 都 写 入 项 目 ， 我 们 可 以 用 其 防 
止 双重 支付 的 发 生 。 这 样 ， 如 果 之 前 币 已 经 转 给 了 一 个 不 同 的 所 有 者 ， 
大 家 都 可 以 看 到 。 


为 执行 这 个 仅 增 功能 ， 财 奴 可 以 建立 一 个 区 块 链 (我 们 之 前 已 经 讨 
论 过 其 数据 结构 )， 对 于 区 块 链 ， 财 奴 要 进行 数字 签名 ， 因 此 ， 这 从 而 
就 形成 了 一 系列 数据 块 ， 每 个 数据 块 都 包含 一 次 交易 〈 在 实践 中 ， 一 种 
优化 的 做 法 是 将 多 次 交易 放 入 同一 个 区 块 中 ， 比 特 币 就 是 这 样 做 的 ) ， 
每 个 区 块 包含 交易 的 ID、 交 易 的 内 容 ， 以 及 上 一 个 区 块 的 哈 希 指针 。 财 
奴 数字 签名 是 针对 最 后 一 个 哈 希 指针 《〈 它 约束 整个 结构 中 所 有 的 数 
据 ) ， 并 将 签名 与 区 块 链 一 起 发 布 ， 见 图 1.11。 


之 前 的 哈 磊 指针 之 前 的 喻 而 指 针 
HG) se 


之 前 的 喻 而 指针 
HC 


图 1.11 财 奴 币 系统 中 的 区 块 链 


在 财 奴 币 中 ， 只 有 在 由 财 奴 签名 的 区 块 链 的 交易 才 算 数 。 任 何人 都 
可 以 通过 核查 财 奴 在 区 块 中 的 签名 来 验证 交易 是 否 经 过 财 奴 的 文 持 ， 财 
奴 会 确保 不 会 文 持 企 图 双重 文 付 ， 也 就 是 不 会 支持 已 经 支付 过 的 币 的 交 
易 。 


为 什么 除了 让 财 妈 签署 每 个 区 块 ， 我 们 还 需要 一 个 带 蛤 希 指针 的 区 
块 链 ? 这 样 做 是 保证 仅 增 特性 。 因 为 财 奴 有 可 能 试图 增加 或 移 除 交易 记 
录 ， 或 者 改变 已 有 交易 ， 而 一 旦 有 了 哈 希 指针 ， 将 会 影响 到 后 面 所 有 的 


区 块 。 只 要 有 人 监督 财 妈 发布 的 最 新 哈 希 指针 ， 变 化 会 很 明显 ， 并 可 以 
被 轻易 发 现 。 在 一 个 财 奴 分 别 签 效 不 同 区 块 的 系统 中 ， 你 需要 记录 他 签 
筑 的 每 一 个 签名 。 采 用 区 块 链 ， 两 个 不 同 的 人 可 以 轻易 验证 他 们 确实 观 
察 到 了 同样 的 ， 由 财 奴 签署 的 交易 记录 。 


财 奴 币 中 有 两 种 交易 。 第 一 种 是 造 币 (CreateCoins) ， 类 似 于 在 高 
飞 币 中 ， 高 飞 可 以 创建 新 币 的 程序 ， 而 财 妈 将 其 进行 了 扩展 ， 那 就 是 可 
以 在 一 次 交易 中 创建 多 个 币 量 ， 见 图 1.12。 


交易 ID: 73 


图 1. 12 造 币 交易 
注 : 造 币 交易 创造 多 个 货币 。 每 一 个 货币 在 交易 中 都 有 一 个 序号 。 其 次 ， 每 一 个 货 
币 也 有 一 定 的 数量 ， 来 对 应 某 个 数目 的 财 奴 币 。 最 后 ， 每 一 个 货币 还 有 一 个 造 币 记 
录 ， 在 货币 被 制造 出 来 的 时 候 对 应 的 公 钥 。 因 此 ， 造 币 交 易 创 造 了 多 个 不 同 数量 和 
归属 于 不 同 拥有 者 的 新 货币 。 我 们 将 这 些 货 币 称 为 虚拟 货币 1D， 指 的 是 该 次 交易 中 
交易 1D 和 货币 序号 的 组 合 。 


造 币 交易 如 果 是 由 财 奴 签署 ， 从 定义 上 说 它 总 是 有 效 的 。 我 们 不 会 


担心 财 妈 什么 时 候 有 权 创 建新 币 或 者 可 以 创建 多 少 ， 正 如 我 们 不 担心 在 
高 飞 币 中 ， 高 飞 可 以 创建 新 币 那样 。 


第 二 种 交易 是 付 币 〈PayCoins) 。 这 一 交易 会 消耗 币 ， 就 是 说 消除 
它们 ， 并 创建 具有 相同 总 值 的 新 币 。 新 币 可 能 属于 不 同 的 人 《〈 公 钥 ) ， 
这 一 交易 必须 由 每 一 个 支付 该 币 的 人 来 进行 签署 。 因 此 ， 如 果 你 是 本 次 
交易 中 将 会 消耗 的 东 只 币 的 所 有 人 ， 那 么 你 就 需要 数字 签 普 该 交易 ， 表 
明 你 同意 花 挥 这 只 币 。 


财 奴 币 的 规则 阐明 ， 如 果 以 下 四 个 条 件 为 真 ， 付 币 交 易 有 效 : 


@ 被 消耗 的 币 为 有 效 货 币 ， 即 它们 是 在 之 前 的 交易 中 创建 的 。 
@ 被 消耗 的 币 没 有 在 之 前 的 某 交 易 中 被 消耗 掉 。 就 是 说 ， 本 次 
交易 不 是 双重 支出 。 


@ 本 次 交易 产生 的 币值 量 等 于 消耗 的 币值 量 ， 也 就 是 说 ， 只 有 
财 奴 才 可 以 创建 新 币 。 


@ 本 次 交易 被 消耗 的 所 有 币 均 有 其 所 有 者 的 有 效 签署 。 


类 型 : 付 币 


消耗 的 虚拟 货币 ID: 
68 (1), 42 (0), 72 (3) 


Cr 


图 1. 13 付 币 交易 


如 果 所 有 条 件 都 满足 ， 那 么 付 币 交易 有 效 ， 并 且 财 奴 会 接受 交易 
〈 见 图 1.13) 。 他 会 通过 将 其 附加 到 区 块 链 上 ， 将 交易 写 入 历史 记录 。 
之 后 ， 每 个 人 都 可 以 看 见 交 易 发 生 了 。 只 有 在 这 时 ， 参 与 者 才 可 以 接受 
交易 实际 发 生 了 。 直 至 发 布 之 前 ， 它 都 可 能 是 一 个 被 双重 支付 抢占 的 交 
易 ， 即 使 前 三 个 条 件 都 被 满足 。 


这 个 系统 中 的 货币 是 不 可 变 的 一 一 它们 不 会 被 改变 、 细 分 或 者 联 


合 。 每 个 币 都 在 一 次 区 易 中 被 创建 一 次 ， 然 后 在 之 后 的 其 他 交易 中 被 消 
耗 。 但 是 我 们 可 以 通过 交易 对 货币 进行 细 分 或 联合 ， 来 实现 相同 的 效 
。 例如， 为 了 细 分 一 只 币 ， 爱 丽 丝 创 建 了 消耗 该 币 的 新 交易 ， 然 后 生 
成 了 两 个 具有 同样 总 值 的 新 币 ， 这 两 个 新 币 可 以 再 次 分 配给 她 。 因 此 ， 
虽然 在 本 系统 中 币 是 不 可 变 的 ， 但 是 它 具 有 除了 可 变 币 以 外 的 系统 的 所 
有 灵活 性 。 


现在 ， 我 们 来 看 一 下 财 妈 币 的 核心 问题 ， 财 奴 币 的 工作 原理 是 人 们 
可 以 看 见 哪些 币 是 有 效 的 。 它 防止 双重 支付 ， 因 为 每 个 人 都 可 以 查看 区 
块 链 ， 看 到 所 有 交易 都 是 有 效 的， 每 一 只 币 确 实 都 只 被 消耗 了 一 次 ， 但 
其 问题 是 ， 财 奴 的 权利 太 大 了 。 他 虽然 不 能 创建 虚假 交易 ， 因 为 他 无 法 
伪造 其 他 人 的 签名 ,但 是 他 可 以 停止 支持 其 他 用 户 的 交易 ， 不 为 他 们 提 
供 服 务 并 让 他 们 的 货币 无 处 可 人 花 。 如 果 财 奴 是 贫 柳 的 〈 正 如 与 他 同名 的 
卡通 形象 一 样 )， 他 可 以 拒绝 公开 交易 ， 除 非 其 他 人 同 他 支付 强制 性 交 
易 费 。 当 然 了 ， 财 妈 还 可 以 想 要 多 少 币 ， 束 给 他 自己 创建 多 少 。 或 者 财 
奴 也 可 能 厌倦 整个 系统 ， 因 此 完全 俘 止 更 新 区 块 链 。 


油 


这 里 的 问题 残 是 中 心 化 。 虽 然 财 奴 本 里 满意 这 个 系统 ， 我 们 用 户 可 
能 会 不 满意 。 财 奴 币 虽然 看 似 是 一 个 不 切实 际 的 方案 ， 但 是 在 很 多 早期 
的 密码 系统 研究 中 ， 确 实 假设 过 一 些 中 央 可 信 机 构 ， 还 特别 被 称 为 银 
行 。 毕 竟 ， 绝 大 多 数 现实 世界 货币 的 确 有 可 信 发 行人 《通常 为 政府 造 币 
三 ) 负责 创建 货币 ， 并 决定 哪些 钱币 为 有 效 货 币 。 但 是 ， 具 有 中 央 机 构 
的 加 密 货 币 纷纷 在 实践 中 失败 。 原 因 有 很 多 ， 回 头 来 看 ， 我 们 似乎 很 难 
让 人 们 接受 有 中 央 机 构 的 加 密 货币 这 个 事物 。 

因此 ， 为 改善 财 妈 币 ， 并 建立 一 个 可 行 系统 ， 我 们 需要 解决 的 主要 
技术 问题 是 : 我 们 是 否 能 让 系统 “去 财 妈 化 ”? 也 束 是 说 ， 我 们 是 否 能 放 
弃 中 心 化 的 财 奴 人 物 ? 我 们 能 够 有 一 个 在 很 多 方面 像 财 奴 币 一 样 运作 的 
加 密 贷 币 ， 但 没有 中 央 信 任 机 构 吗 ? 


为 回答 这 些 问 题 ， 我 们 需要 解决 所 有 用 户 如 何在 交易 历史 记录 发 生 


后 ， 一 致 同意 采用 一 个 公开 区 块 链 ， 他 们 必须 一 致 同 意 哪 些 交 易 有 效 、 
哪些 交易 是 实际 发 生 了 。 他 们 还 需要 能 够 用 一 种 去 中 心 化 的 方式 分 配 

ID。 最 后 ， 新 币 的 铸造 也 需要 通过 去 中 心 化 的 方式 进行 掌控 。 如 果 我 们 
可 以 解决 所 有 这 些 问题 ， 那 么 我 们 可 以 创建 一 个 如 同 财 奴 币 那样 的 货 

币 ， 但 确实 没有 中 心 化 的 机 构 。 实 际 上 ， 这 样 的 一 个 系统 就 与 比特 币 非 
常 相像 了 。 


延伸 阅读 


史 带 耸 : 列 维 (Steven Levy) 的 《密码 术 》， 从 一 个 令 人 愉悦 的 、 
非 技术 的 角度 看 竺 现代 密码 术 的 发 展 ， 及 其 背后 的 人 和 事 : 


Levy, Steven. Crypto: How the Code Rebels Beat the Government— 
Saving Privacy in the Digital Age. London:Penguin, 2001. 


现在 密码 术 还 是 一 个 较为 理论 化 的 领域 ， 密 码 学 者 使 用 数学 以 一 种 
较为 正规 的 方式 定义 其 基础 知识 、 协 议 以 及 其 他 被 用 户 期 望 的 安全 特 
性 ， 并 根据 关于 特定 数学 问题 的 计算 复杂 性 中 被 广泛 接受 的 假设 ， 来 证 
明 它们 的 安全 性 。 本 章 我 们 使 用 到 了 直觉 语言 来 讨论 哈 希 函数 及 数字 签 
名 。 对 于 有 兴趣 用 更 为 严格 的 数学 的 方式 ， 以 及 想 更 深入 探索 这 些 概念 
及 其 他 密码 学 理论 的 读者 ， 我 们 推荐 你 阅读 : 


Katz, Jonathan, and Yehuda Lindell. Introduction to Modern 
Cryptography, second edition. Boca Raton,FL:CRC Press, 2014. 


对 于 应 用 密码 学 概述 ， 参 见 : 


Ferguson, Niels, Bruce Schneier, and Tadayoshi Kohno. Cryptography 
Engineering: Design Principles and Practical Applications. Hoboken,NJ:John 
Wiley & Sons, 2012. 


精读 定义 SHA-256 的 NIST 标 准 是 了 解密 码 学 标准 的 有 效 方式 : 


NIST.“Secure Hash Standards， Federal Information Processing 
Standards Publication.”FIPS PUB 180-4. Information Technology 
Laboratory, NIST, Gaithersburg, MD, 2008. 


最 后 ， 请 参考 讨论 ECDSA 签 名 算法 标准 化 版 本 的 论文 : 


Johnson, Don, Alfred Menezes, and Scott Vanstone. “The Elliptic Curve 
Digital Signature Algorithm (ECDSA).” International Journal of Information 
Security 1 (1) 2001:36-63. 


第 2 章 
比特 币 如 何 做 到 去 中 心 化 


在 这 一 草 ， 我 们 将 讨论 比特 币 如 何 做 到 去 中 心 化 。 在 第 1 章 中 ， 我 
们 讨论 了 比特 币 底层 加 密 算法 的 基础 ， 最 后 我 们 谈 到 了 财 奴 币 。 作 为 一 
种 以 账本 为 基础 的 记 账 式 加 密 数 字 货 币 ， 财 奴 系 统 已 经 做 得 确实 不 错 
了 ， 但 它 有 一 个 很 突出 的 问题 ， 那 束 是 该 系统 非常 依赖 一 个 被 称 为 “ 财 
奴 ” 的 中 心 化 权威 。 在 第 1 章 的 最 后 ， 我 们 提出 了 财 奴 币 去 中 心 化 的 问 
题 ， 或 者 说 如 何 去 财 奴 化 。 在 本 半 ， 我 们 将 着 重 讨论 这 个 问题 。 


通读 完 本 间 ， 我 们 将 注意 到 比特 币 并 不 是 完全 使 用 纯 技术 手段 ， 而 
是 将 技术 手段 与 一 种 明智 的 激励 机 制 相 结合 ， 做 到 了 去 中 心 化 。 本 章 的 
最 终 目的 会 使 你 对 去 中 心 化 有 一 个 通盘 的 认识 ， 同 时 也 对 比特 币 运作 机 
制 有 所 了 解 ， 并 且 懂 得 为 什么 比特 币 确实 是 安全 的 。 


2.1 中 心 化 与 去 中 心 化 


去 中 心 化 是 一 个 重要 概念 ， 这 个 概念 并 不 是 比特 币 独 有 的 特性 。 在 
各 种 数字 技术 领域 ， 中 心 化 与 去 中 心 化 两 派 的 竞争 也 越 来 越 多 见 。 为 了 
更 好 地 理解 竞 争 模 式 在 比特 币 里 的 表现 ， 我 们 有 必要 了 解 一 下 两 派 苋 争 
在 其 他 不 同 技术 领域 的 竞争 焦点 。 


互联 网 其 实 就 是 一 个 著名 的 去 中 心 化 系统 。 但 在 早期 ， 互 联网 是 在 
与 美国 在 线 (American On-Line， 简 称 AOL ) 以 及 CompuServe 三 等 围墙 
花园 式 信息 服务 体系 的 竞争 中 ， 逐 步 变 得 越 来 越 风 行 。 电 子 邮 件 的 实质 
也 是 一 种 简单 邮件 传输 协议 〈Simple Mail Transfer Protocol， 人 简称 SMTP) 
的 去 中 心 化 系统 。 尽 管 电子 邮件 也 受到 像 脸 书 (Facebook) 、 领 贡 
(LinkedIn〉 这些 中 心 化 私有 信息 系统 邮箱 服务 体系 的 挑战 ， 但 电子 邮 
件 仍然 是 人 与 人 之 间 进 行 通信 的 一 种 被 默认 的 选择 。 其 实 ， 我 们 已 经 不 
能 简单 将 像 即时 短信 或 者 短信 等 通信 手段 归 类 为 是 中 心 化 ， 或 者 是 去 中 
心 化 模式 ， 这 些 通信 方式 往往 是 一 种 混合 模式 。 在 社交 网 络 中 ， 尽 管 有 
很 多 爱好 者 、 技 术 开 发 人 员 ， 其 至 还 有 企业 者 也 在 尝试 用 去 中 心 化 的 方 
式 来 蔡 代 像 脸 书 、 领 身 这 样 的 中 心 化 系统 ， 但 目前 这 些 中 心 化 系统 仍 具 
统治 地 位 。 事 实 上 ， 中 心 化 与 去 中 心 化 的 竞争 在 数字 时 代 之 前 就 已 经 存 
在 ， 在 电话 、 无 线 电 、 电 视 及 电影 的 发 展 史 上 ， 我 们 都 兽 看 到 过 这 两 种 
模式 的 竞争 。 


中 心 化 与 去 中 心 化 也 并 非 水 火 不 容 ， 其 实 没有 一 个 系统 是 完全 中 心 
化 ， 或 者 是 完全 去 中 心 化 的 。 比 如 ， 电 子 邮件 其 实 是 一 个 去 中 心 化 系 
统 ， 它 基于 一 个 标准 的 中 心 化 协议 SMTP， 任 何人 只 要 愿意 ， 都 可 以 设 
计 一 个 自己 的 电子 邮件 服务 器 。 但 实际 情况 是 ， 只 有 一 小 部 分 电子 邮件 
服务 商 在 这 个 领域 占据 着 统治 地 人 位。 类似， 虽然 比特 币 系统 是 去 中 心 化 


的 ， 但 比特 币 交 易 所 《将 比特 币 转换 成 其 他 货币 的 平台 ) 、 钱 包 软 件 以 
及 用 户 管理 比特 币 的 软件 ， 可 以 是 中 心 化 的 ， 也 可 以 是 去 中 心 化 的 。 


有 了 以 上 的 考虑 ， 我 们 把 比特 币 如 何 做 到 去 中 心 化 这 个 问题 拆 解 为 
下 面 五 个 问题 : 


1. 谁 在 维护 交易 账本 ? 

2. 谁 有 权利 批准 哪个 交易 是 正当 有 效 的 ? 
3. 谁 在 制造 新 的 比特 币 ? 

4. 谁 在 制定 系统 变化 规则 ? 

5. 比 特 币 是 如 何 取得 交易 价值 的 ? 


前 三 个 问题 反映 了 比特 币 协议 的 技术 细节 ， 我 们 将 在 本 章 重 点 讨 


比特 币 系统 的 不 同方 面 是 从 不 同 点 涉及 了 中 心 化 及 去 中 心 化 。 点 对 
点 网 络 是 最 接近 去 中 心 化 的 体系 ， 任 何 一 个 人 都 可 以 运行 一 个 比特 币 贡 
点 ， 而 且 基 本 没有 什么 入 门 门槛 ， 用 户 只 需要 上 网 下 载 一 个 比特 币 客户 
端 ， 束 可 以 在 其 个 人 电脑 上 运行 一 个 节 氮 ， 现 在 全 球 有 成 千 上 万 个 这 样 
的 节点 。 在 本 章 2.4 节 中 我 们 将 要 学 习 比 特 币 挖 矿 (bitcoin mining) ， 从 
技术 上 讲 ， 挖 矿 过 程 也 是 同 所 有 人 开放 的 ， 但 挖 矿 需要 很 多 资金 投入 。 
正 因为 如 此 ， 挖 矿 领 域 具 有 非常 高 的 中 心 化 及 挖 矿 能 力 集中 的 倾 徊 。 比 
特 币 社区 里 有 许多 人 认为 这 种 现象 并 不 可 取 。 第 三 点 是 天 于 比特 币 运行 
节点 软件 的 更 新 ， 这 涉及 何 时 以 及 如 何 更 新 系统 规则 。 大 家 可 以 想象 ， 
束 像 电子 邮件 系统 那样 ， 这 些 节 点 可 能 有 各 种 根据 相同 方式 但 通过 不 同 
手段 实现 的 不 同 版 本 。 但 在 实际 上 ， 绝 大 多 数 节 点 用 的 都 是 社区 里 被 大 
家 公认 的 有 权威 的 资深 开发 者 开发 出 来 的 软件 。 


CompuServe， 美 国 最 大 的 在 线 信息 服务 机 构 之 一 。CompuServe 产 品 于 1979 年 问世 ， 
它 提供 留言 板 、 新 闻 和 信息 、 电 子 商 务 以 及 其 他 类 似 网 络 功 能 的 服务 。 这 款 产 品 的 问世 
时 间 远 远 早 于 网 络 。 美 国 在 线 在 20 世 纪 90 年 代 早 期 的 崛起 ， 使 得 CompuServe 退 居 美 国 第 
二 大 在 线 服 务 商 。 不 久之 后 ，CompuServe 不 得 不 同 互联 网 进行 竞争 ， 它 变 成 了 一 个 不 那 
么 令 人 满意 的 互联 网 服务 提供 商 。 而 且 ， 随 着 用 户 更 多 地 使 用 互联 网 ，CompuServe 风 光 
一 时 的 留言 板 也 开始 被 人 抛弃 。1997 年 ， 美 国 在 线 收 购 了 CompuServe。 正 如 网 景 一 样 ， 
CompuServe 成 为 美国 在 线 用 在 其 他 产品 上 的 标示 。 现 在 ，CompuServe 只 是 一 个 半 门 户 网 
站 。 一 一 译 者 注 


2.2 分 布 式 共 识 


在 前 一 节 ， 我 们 笼统 地 讨论 了 去 中 心 化 和 中 心 化 。 现 在 我 们 从 一 个 
更 为 技术 性 的 层面 看 一 下 比特 币 的 去 中 心 化 。 接 下 来 ， 我 们 会 遇 到 一 个 
被 称 作 “ 共 识 ”(consensus) 的 重要 概念 ， 特 别 地 ， 还 有 “分 布 式 共 
识 ”(distributed consensus) 。 建 立 一 个 分 布 式 的 电子 现金 系统 的 关键 技 
术 问 题 ， 就 在 于 要 达成 分 布 式 共识 。 直 观 地 说 ， 你 可 以 想象 我 们 的 目标 
就 是 要 将 第 1 章 提 到 的 财 奴 币 去 中 心 化 。 


分 布 式 共识 有 各 种 应 用 ， 计 算 机 界 对 其 也 研究 了 多 年 ， 传 统 具 有 局 
发 式 的 应 用 就 是 提高 分 布 式 系统 的 可 靠 性 。 设 想 你 在 管理 一 个 社交 网 络 
公司 的 后 端 平台 ， 比 如 微 信 ， 像 这 样 庞大 的 系统 通 币 有 几 千 台 甚 全 儿 万 
台 服 务 器 ， 这 些 服务 器 组 成 了 一 个 巨大 的 分 布 式 数据 库 ， 数 据 库 中 记录 
了 这 个 系统 里 发 生 的 各 种 活动 ， 而 每 条 信息 都 会 被 记录 在 后 端的 石 干 个 
市 尽 上 ， 对 于 整个 系统 的 状态 ， 这 些 市 上 必须 要 做 到 同步 。 


分 布 式 共识 协议 的 意义 远 远 超出 了 传统 意义 的 范畴 。 一 旦 具备 了 这 
样 的 体系 ， 我 们 就 可 以 建立 一 个 庞大 的 分 布 式 键 值 (key-value) 存储 
库 ， 该 类 存储 库 可 以 将 任意 数据 如 身高 、 名 字 等 对 应 一 个 相应 的 开局 
键 ， 基 于 此 ， 许 多 应 用 得 以 实现 。 例 如 ， 我 们 可 以 建立 一 个 分 布 式 域名 
系统 ， 将 人 脑 易于 理解 的 域名 与 耳 地 址 进行 配对 ， 我 们 也 可 以 建立 一 个 
公 钥 目录 ， 这 个 目录 可 以 把 公 钥 与 电邮 地 址 〈 或 者 其 他 真实 世界 中 的 号 
份 证 明 ) 对 应 起 来 。 


以 上 讨论 在 直 党 上 说 明了 分 布 式 共识 的 大 概 含义 。 对 于 分 布 式 共 
识 ， 我 们 还 是 要 给 出 一 个 技术 定义 ， 以 此 我 们 可 以 判别 一 个 协定 是 否 符 
合 分 布 式 共识 的 要 求 。 


分 布 式 共识 协议 在 一 个 有 n 个 节点 的 系统 中 ， 每 一 个 节点 都 有 一 
个 输入 值 ， 其 中 一 些 节 点 具有 故障 ， 甚 至 是 恶意 的 。 一 个 分 布 式 共识 
协议 有 以 下 两 个 属性 : 

@ 输入 值 的 中 止 须 经 所 有 诚实 节点 来 确定 。 

@ 这 个 输入 值 必 须 由 诚实 市 点 来 生成 。 


那么 以 上 概念 在 比特 币 里 又 是 什么 含义 呢 ? 想 要 理解 分 布 式 共识 在 
比特 币 中 的 用 途 ， 我 们 需要 记 住 比特 币 是 个 点 对 点 的 系统 。 当 爱丽 丝 向 
鲍 勃 付款 的 时 候 ， 她 其 实 是 在 向 构成 比特 币 网 络 上 的 所 有 节点 广播 其 交 
易 行 为 ， 见 图 2.1。 


爱丽 丝 签名 


支付 给 鲍 勃 的 公 钥 : H ( ) 


图 2.1 广播 交易 
注 : 为 了 向 鲍 勃 付款 ， 爱 丽 丝 需要 向 整个 比特 币 点 对 点 网 络 进行 广播 。 
顺便 提 一 下 ， 你 可 能 注意 到 ， 当 爱丽 丝 同 整个 比特 币 点 对 点 系统 广 
播 时 ， 饱 勃 的 计算 机 并 不 一 定 在 图 2.1 的 网 络 中 。 当 然 饮 勃 也 有 可 能 在 
这 个 网 络 上 运行 着 一 个 节点 ， 如 果 鲍 勃 想 在 爱丽 丝 转 币 给 他 时 及 时 被 系 
统 通知 ， 运 行 一 个 节点 当然 是 个 好 主意， 但 其 实 这 并 不 重要 ， 鲍 勃 是 否 
运行 节点 并 不 影响 他 收 到 爱丽 丝 转 给 他 的 比特 币 。 


在 比特 币 网 络 里 ， 市 点 到 底 要 达成 什么 样 的 共识 昵 ? 网 络 里 有 各 种 
各 样 的 用 户 在 向 网 络 广 播 交 易 ， 节 点 必须 对 哪些 交易 可 以 进行 广播 和 交 
易 发 生 的 次 序 达 成 共识 ， 以 此 系统 将 形成 一 个 唯一 的 全 球 交 易 总 账 。 回 
想 我 们 在 第 1 章 1.5 节 中 曾 提 到 的 财 妈 币 将 交易 打包 成 块 ， 对 信息 进行 优 
化 处 理 。 类 似 地 ， 在 比特 币 体 系 里 ， 我 们 也 将 每 个 区 块 进 行 共识 处 理 。 


在 任何 时 点 ， 所 有 在 点 对 点 网 络 上 的 节点 都 有 包含 一 系列 区 块 的 总 
账本 ， 每 个 区 块 中 都 包含 了 已 经 被 所 有 节点 达成 共识 的 交易 清单 。 除 此 
之 外 ， 每 个 市 反 还 有 一 堆 没有 个 打 包 进 入 区 块 的 交易 ， 就 是 那些 网 络 市 
点 已 经 被 通知 、 交 易 已 经 发 生 ， 但 还 没有 被 写 进 区 块 的 交易 。 网 络 节点 
对 于 这 些 交 易 还 没有 达成 共识 ， 所 以 每 个 市 点 都 有 一 个 略 有 差异 、 尚 竺 
确认 的 交易 池 。 在 实际 中 ， 点 对 点 网 络 是 不 完美 的 ， 所 以 有 些 节 点 听 到 
了 了 交易， 而 有 些 市 把 却 没 有 听 到 。 


那么 ， 所 有 的 节 氮 是 如 何 对 一 个 区 块 达 成 共识 的 呢 ? 一 个 方法 是 ， 
在 一 个 时 间 段 里 ， 比 如 次 每 隅 十 分 钟 ， 每 个 节点 都 提议 ， 目 己 的 未 被 认 
可 的 交易 成 为 已 经 达成 共识 的 区 块 链 后 面 的 下 一 个 区 块 ， 然 后 那些 市 点 
会 执行 一 些 共识 协议 ， 每 个 节点 把 自己 提议 的 区 块 作为 输入 。 但 不 可 避 
免 地 ， 有 些 节点 可 能 是 恶意 的 ， 存 心 要 把 不 当 交 易 放 进 区 块 里 ， 其 他 节 
点 则 是 诚实 的 。 如 果 共 识 协议 能 够 顺利 完成 ， 一 个 正当 有 效 的 区 块 会 被 
选 作 输出 值 。 尺 管 有 些 被 选 出 的 区 块 是 由 一 个 市 点 提交 ， 但 只 要 这 个 区 
块 是 正当 有 效 的 ， 输 出 就 是 正当 有 效 的 。 这 时 候 可 能 有 人 会 指出 ， 这 个 
被 选 出 的 区 块 可 能 未 包含 所 有 的 正当 有 效 的 交易 ， 但 这 并 没有 关系 ， 如 
果 有 些 正当 有 效 的 交易 没 被 放 进 区 块 ， 它 们 可 以 等 待 下 一 次 机 会 。 


前 面 所 谈 到 的 这 个 办 法 与 比特 币 系统 有 些 相 似 之 处 了 ， 但 实质 还 是 
不 完全 一 样 。 以 上 做 法 有 几 个 技术 上 的 问题 : 第 一 ， 达 成 共识 一 般 是 个 
难题 ， 因 为 有 些 市 点 会 死机 或 是 根本 束 是 恶意 节点 ; 第 二 ， 束 比特 币 而 
言 ， 扩 对 点 网 络 是 不 完美 的 ， 并 非 所 有 对 应 的 节操 是 两 两 相连 的 ， 互 联 
网 链接 的 不 恨 可 能 会 造成 网 络 问题 ， 要 执行 一 个 所 有 市 把 痢 参与 的 共识 


协议 好 像 并 不 现实 ;第 三 ， 由 于 交易 信息 是 分 布 在 整个 互联 网 上 ， 信 息 
传递 会 有 严重 延迟 。 


延迟 与 全 球 时 间 


比特 币 协议 达成 共识 时 必须 直面 两 大 障碍 : 其 一 是 不 完美 网 络 ， 
例如 信息 延迟 和 市 点 死机 ， 其 二 是 某 些 故 意 搞 破坏 的 节点 。 

严重 网 络 延 迟 导 致 的 一 个 后 条 是 ， 节 点 之 间 设 有 一 个 统一 的 全 球 
时 间 概 念 。 意 思 是 ， 并 非 所 有 节点 都 能 根据 每 个 交易 的 时 间 惟 来 达成 


交易 时 间 共 识 ， 因 此 ， 共 识 协议 不 能 执行 以 下 指令 :“ 在 第 一 步 里 友 
了 第 一 个 消息 的 节点 必须 在 第 三 步 里 执行 X。” 这 做 法 根本 无 法 执 
行 ， 因 为 所 有 的 节点 对 于 谁 在 第 一 步 中 发 出 第 一 个 信息 有 不同 的 看 
2 


不 可 能 性 结论 


在 全 球 时 间 上 的 不 统一 ， 给 共识 协议 算法 带 来 了 很 多 限制 。 事 实 
上 上， 由 于 这 些 限制 ， 许 多 关于 分 布 式 共识 的 文献 都 对 是 否 能 达成 共识 持 
悲观 态度 ， 有 许多 达成 共识 具备 不 可 能 性 的 结论 已 经 被 证 实 。 一 个 经 典 
案例 就 是 “拜占庭 将 军 问 题 ”(Byzantine Generals Problem) ， 这 个 经 典 
难题 是 这 样 前 述 的 : 拜 占 许 是 东 罗 马 帝 国 的 首都 ， 它 的 盏 队 分 成 多 个 
师 ， 每 个 师 都 由 一 个 将 军统 领 。 这 些 将 军 通 过 信使 进行 交流 ， 来 达成 一 
个 共同 作战 方案 ， 有 些 将 军 可 能 是 叛徒 ， 想 故意 破坏 这 个 过 程 ， 这 会 造 
成 那些 忠诚 的 将 军 也 无 法 达成 一 个 统一 的 作战 计划 。 解 决 这 个 难题 的 办 
法 就 是 让 那些 忠诚 的 将 军 在 这 样 的 情况 下 达成 统一 作战 方案 ， 而 避免 那 
些 叛 徒 对 作战 方案 的 误导 。 事 实证 明 ， 如 果 叛 徒 数量 超过 1/3 时 ， 这 个 
难题 将 无 法 克服 ， 那 些 忠臣 的 计划 终 会 被 叛徒 们 破坏 。 


还 有 一 个 更 为 微妙 的 关于 不 可 能 性 的 结论 ， 这 束 古 着 名 的 “Fischer- 
Lynch-Paterson 个 可 能 结果 ”三 ， 该 名 称 以 最 初 的 作者 而 命名 。 该 结果 指 
出 ， 在 一 定 的 条 件 下 《包括 节点 行为 具有 确定 性 特征 ) ， 甚 至 在 只 有 一 
个 缺陷 的 过 程 中 ， 达 成 共识 都 是 不 可 能 的 。 


尽管 有 这 些 “ 不 可 能 性 结论 ”， 还 是 有 文献 谈 到 了 一 些 共 识 协议 。 比 
较 赣 名 的 就 是 Paxos 算 法 协议 。Paxos 算 法 做 了 一 些 习 协 ， 一 方面 ，Paxos 
算法 能 做 到 不 产生 不 一 致 的 结果 ; 另 一 方面 ，Paxos 算 法 所 做 的 妥协 
是 ， 在 一 定 条 件 下 《虽然 是 不 常见 的 情形 ) ， 该 协议 会 死机 卡 住 ， 从 而 
无 法 继续 运行 。 


打破 传统 上 的 假设 


但 好 消 妃 是 ， 这 些 所 谓 的 “不 可 能 性 结论 ?都 是 在 一 些 特定 的 模式 下 
才 成 立 ， 这 些 结论 是 针对 分 布 式 数据 库 的 研究 ， 这 些 模型 不 能 完全 套用 
到 比特 币 号 上 来 ， 比 特 币 本 身 就 打破 了 很 多 原来 分 布 式 数据 库 所 做 的 假 
设 。 这 些 结论 其 实 从 菏 一 方面 让 我 们 更 明白 了 那些 特定 模式 ， 由 此 或 许 
可 以 真正 对 分 布 式 共识 给 出 解决 方案 。 


具有 讽刺 意义 的 是 ， 惑 目前 对 共识 的 研究 来 说 ， 比 特 币 实际 和 运行 情 
况 下 远 比 理论 上 告诉 我 们 的 要 好 得 多 ， 这 就 是 比特 币 让 专家 们 跌 破 眼镜 
之 处 。 我 们 看 到 分 布 式 共识 在 比特 币 里 运行 良好 ， 但 我 们 还 没有 建立 理 
论 来 充分 解释 为 什么 会 这 样 ， 但 无 论 如 何 ， 完 善 理 论 对 将 来 的 发 展 还 是 
十 分 重要 的 ， 理 论 结果 可 以 使 我 们 预测 ， 甚 至 预防 未 来 可 能 的 攻击 和 问 
题 。 我 们 一 旦 具备 了 较 强 的 理论 依据 ， 来 解释 比特 币 分 布 式 共识 的 民 好 
运作 机 制 ， 我 们 才能 真正 地 对 比特 币 的 安全 性 和 稳定 性 做 出 保证 。 


比特 币 到 的 打破 了 经 典 模 型 里 的 哪些 假设 呢 ? 第 一 ， 比 特 币 引进 了 
奖励 的 理念 ， 这 对 分 布 式 共识 协议 来 说 是 一 个 全 新 的 理念 ， 这 也 只 有 在 
比特 币 里 才 可 能 实现 ， 因 为 比特 币 也 是 个 货币 ， 所 以 人 们 自然 而 然 地 会 
为 了 金钱 奖励 而 变 得 诚实 起 来 。 所 以 ， 比 特 币 并 没有 真正 解决 分 布 式 共 
识 问题 ， 它 只 是 在 特定 货币 系统 下 解决 了 这 个 问题 而 已 。 


第 二 ， 比 特 币 体系 包含 随机 性 这 个 概念 。 在 后 面 两 市 里 我 们 将 会 看 


到 ， 比 特 币 的 共识 算法 很 大 程度 上 依赖 于 随机 性 。 此 外 ， 它 也 不 再 纠结 
于 规定 共识 的 起 点 与 终点 。 相 反 ， 共 识 是 通过 一 段 较 长 的 时 间 而 达成 
的 ， 在 实际 系统 中 ， 达 成 共识 大 约 需 要 一 个 小 时 左右 。 但 即使 在 一 个 小 
时 以 后 ， 节 点 们 也 无 法 确定 哪 一 个 交易 块 应 该 进入 总 账本 。 但 随 独 时 间 
的 流逝 ， 我 们 对 某 一 个 块 的 认识 与 最 终 总 体 共 识 相 吻 合 的 概率 将 越 来 越 
大 ， 观 点 出 现 分 监 的 概率 按 指 数 级 下 降 。 比 特 币 在 以 上 方面 的 不 同 ， 让 
它 能 够 逾越 传统 理论 关于 分 布 式 共识 不 可 达成 这 一 鸿沟 。 


1. Fischer-Lynch-Paterson 不 可 能 结果 ， 是 Michael J. Fischer、Nancy A. Lynch 和 Michael S. 
Paterson 在 论文 Impossibility of distributed consensus with one faulty process 中 证 明 的 一 个 结 
论 ， 称 得 上 是 分 布 式 理论 中 最 为 深刻 的 结论 ， 大 致 表述 如 下 :“ 在 一 个 多 进程 异步 系统 

中 ， 只 要 有 一 个 进程 不 可 靠 ， 那 么 就 不 存在 一 个 协议 ， 此 协议 能 保证 有 限时 间 内 使 所 有 

进程 达成 一 致 。“ 一 译 者 注 


2.3 使 用 区 块 链 达成 没有 号 份 的 共识 


在 这 一 节 里 ， 我 们 将 探讨 比特 币 共识 算法 的 技术 细节 。 回 忆 一 下 ， 
我 们 在 前 面 曾 说 过 ， 比 特 币 中 的 每 个 节点 并 没有 一 个 稳定 的 、 长 期 的 号 
份 ， 这 一 点 也 是 与 传统 分 布 式 共 识 算法 的 不 同 之 处 。 吴 份 缺失 的 原因 
是 ， 在 一 个 点 对 点 网 络 中 ， 没 有 一 个 中 央 权 威 机 构 来 发 放 喘 份 ， 并 保证 
它们 没有 制造 节点 。 用 技术 术语 来 说 ， 乱 造 节点 就 是 所 谓 的 “女巫 攻 
击 ”(sybil attack) 现象 。 女 下 就 是 恶意 黑客 制造 的 不 同 节 点 ， 这 些 节 点 
看 起 来 像 是 对 应 不 同 的 身份 的 人 ， 其 实 是 由 一 个 人 在 幕后 控制 。 另 一 个 
原因 是 化 名 制 〈pseudonymity) ， 也 是 比特 币 想 达到 的 一 个 目标 ， 上 所 以 
即使 可 以 蔡 所 有 节点 建立 唯一 真实 号 份 ， 我 们 也 不 想 那 样 做 。 虽 然 比 特 
币 还 是 不 能 保证 真正 的 匿名 ， 一 个 用 户 用 不 同 吴 份 做 的 不 同 交 易 还 是 有 
办 法 被 最 终 仍 踩 到 ， 但 比特 币 的 特性 毕竟 没有 强迫 大 家 用 真实 身份 来 加 
入 。 这 是 比特 币 的 重要 特性 ， 也 是 比特 币 系 统 的 核心 理念 。 


如 果 所 有 节点 都 有 真实 身份 的 话 ， 那 么 设计 上 会 更 加 容易 。 有 了 真 
实 喘 份 ， 我 们 惑 能 够 以 这 样 的 方式 发 出 协议 指令 ， 比 如 “编号 最 小 的 市 
点 开始 做 茶 些 动作 >”， 在 没有 真实 身份 前 担 下 ， 系 统 能 设计 的 指令 就 受 
到 很 多 限制 ， 但 设计 真实 映 份 最 主要 的 考虑 是 安全 上 的 便利 。 如 果 市 上 反 
的 里 份 可 以 被 识别 ， 束 不 能 随便 地 制造 新 的 市 上 里 份 出 来 。 那 样 的 话 ， 
我 们 就 可 以 假设 有 恶意 节 点 的 数量 ， 然 后 部 闭 安全 措施 来 防范 。 基 于 以 
上 原因 ， 缺 少 真实 号 份 给 比特 币 的 共识 协议 带 来 很 多 难点 。 


我 们 可 以 做 一 个 较 弱 的 理论 假设 来 弥补 这 个 先天 的 不 足 。 假 设 我 们 
可 以 在 系统 里 随意 选 一 个 节点 ， 一 个 比较 好 的 比喻 是 一 一 就 如 同 在 彩票 
站 ， 或 是 在 任何 一 个 难以 辨别 每 个 人 身份 的 系统 中 ， 我 们 给 每 一 位 顾客 
发 出 彩票 或 是 一 个 识别 牌 ， 之 后 我 们 残 可 以 开始 抽奖 ， 与 奖 写 对 应 的 人 


就 会 中 奖 。 现 在 我 们 想象 一 下 在 比特 币 的 世界 里 ， 我 们 假设 也 可 以 做 到 
这 一 点 。 我 们 再 假设 ， 这 个 彩票 的 印 制 过 程 与 发 放 办 法 是 足够 聪明 的 ， 
如 果 一 个 黑客 想 制造 出 许多 女巫 节点 来 ， 最 后 所 有 这 些 节 点 也 只 能 拿 到 
一 张 彩 票 。 也 就 是 说 ， 这 个 黑客 无 法 通过 制造 假 的 节点 来 增强 他 的 力 

量 。 如 果 你 党 得 我 们 做 的 假设 太 多 了 ， 请 不 要 担心 ， 我 们 在 以 后 会 消除 
这 些 假设 ， 并 在 后 文 会 详细 说 明 ， 在 比特 币 系统 中 ， 与 这 些 假设 相对 应 
的 性 质 是 如 何 实现 的 。 


隐 性 共识 


对 随意 节点 选择 的 假设 可 以 让 * 隐 性 共识 ”(inplicit consensus) 成 为 
可 能 。 我 们 的 共识 协议 有 多 个 回合 ， 每 个 回合 都 对 应 着 区 块 链 里 的 一 个 
块 。 在 每 一 个 回合 里 ， 一 个 随机 节点 会 被 选中 ， 然 后 这 个 节点 可 以 提议 
这 个 链 的 下 一 个 区 块 。 这 时 没有 共识 算法 ， 也 没有 任何 投票 过 程 来 决定 
哪个 区 块 会 被 选中 ， 随 机 被 选中 的 节点 会 直接 决定 区 块 链 的 下 一 个 区 
块 ， 但 万 一 这 个 节点 是 恶意 的 呢 ? 针对 这 个 问题 ， 还 是 有 应 对 办 法 的 ， 
解决 方法 就 是 隐 性 共识 。 其 他 节点 可 以 通过 隐 性 地 接受 或 是 拒绝 前 面 这 
个 被 随机 选择 出 来 的 节点 。 如 果 接 受 ， 它 们 会 在 这 个 块 之 后 接龙 下 去 ; 
如 果 拒 绝 ， 它 们 忽略 这 个 新 的 区 块 ， 而 是 选择 前 一 曾经 接受 的 区 块 ， 来 
继续 接龙 下 去 。 大 家 还 记得 ， 每 一 块 都 记录 大 前 一 块 的 哈 希 值 。 这 就 是 
节点 选择 在 哪 一 块 来 继续 接龙 的 技术 处 理 方式 : 比特 币 共识 算法 简化 
版 ) 。 


这 个 算法 的 简化 假设 是 ， 可 以 随意 选择 一 个 节点 ， 这 些 节点 都 不 
会 受到 女巫 攻击 的 影响 。 


1. 新 的 交易 被 广播 到 所 有 市 点 上 。 
2. 每 个 节点 都 将 新 的 交易 放 进 一 个 区 块 。 


3. 在 每 个 回合 ， 一 个 随机 的 节点 可 以 广播 它 的 区 块 。 

4. 其 他 节点 可 以 选择 接受 这 个 区 块 ， 前 提 是 如 果 区 块 里 的 交易 都 
是 正当 的 《有 真 的 签名 ) 。 

5. 节点 们 可 以 把 以 上 区 块 的 哈 希 值 放 进 自己 的 区 块 里 ， 以 此 来 表 
示 它 们 对 那个 新 区 块 的 认可 。 


我 们 现在 一 起 来 研究 一 下 为 什么 这 样 一 个 共识 算法 是 有 效 的 。 为 
此 ， 我 们 假设 有 一 个 叫 爱 丽 丝 的 黑客 ， 她 想 要 破坏 这 个 共识 过 程 。 


禄 取 比 特 币 


爱丽 丝 能 够 历 取 属于 妃 一 个 用 户 ， 不 受 她 控制 的 地 址 里 的 比特 币 
吗 ? 答案 是 否定 的 。 即 使 这 一 轮 是 由 爱丽 丝 提议 区 块 链 上 的 下 一 个 区 
块 ， 她 也 不 可 能 禄 取 别 人 的 比特 币 。 这 么 做 的 话 ， 爱 丽 丝 需要 发 起 一 笔 
有 效 的 交易 来 花 挥 这 个 比特 币 。 这 就 要 求爱 丽 丝 伪造 比特 币 拥有 者 的 签 
名 ， 然 而 如 果 数 字符 名 机 制 是 安全 的 ， 她 是 无 法 办 到 的 。 只 要 背后 的 密 
码 学 基础 是 牢靠 的 ， 她 就 无 法 轻易 贸 取 比特 币 。 


拒绝 服务 攻击 


让 我 们 来 考虑 男 一 种 攻击 。 假 设 爱丽 丝 不 如 欢 叫 鲍 劲 的 某 个 用 户 ， 
爱丽 丝 可 以 决定 她 不 把 鲍 动 发 起 的 任何 交易 放 进 她 所 提议 的 区 块 里 。 换 
言 之 ， 她 拒绝 提供 服务 给 鲍 动 。 尺 管 这 是 爱丽 丝 可 以 开展 的 有 效 的 攻 
击 ， 但 焉 好 这 不 过 是 个 小 问题 。 如 果 鲍 劲 的 交易 没有 被 放 进 爱丽 丝 所 提 
议 的 下 一 个 区 其 ， 鲍 芝 只 要 等 到 下 一 个 诚实 节点 发 起 区 块 的 时 候 ， 他 的 
交易 记录 就 会 被 放 进 这 个 区 块 里 。 所 以 这 其 实 也 不 算是 一 个 有 效 的 攻 
击 。 


双重 文 付 攻击 


这 演 


爱丽 丝 也 可 能 会 发 起 一 个 双重 文 付 攻击 。 要 理解 爱丽 丝 如 何 发 起 这 
种 攻击 ， 我 们 可 以 假设 爱丽 丝 是 鲍 动 开 的 网 店 或 网 站 的 一 名 顾客 。 鲍 动 
提供 一 些 比特 币 付 费 的 在 线 服 务 ， 比 如 软件 下 载 。 双 重文 付 攻击 是 这 样 
的 : 爱丽 丝 在 鲍 勃 的 网 站 选中 一 件 商品 并 加 入 购物 车 中 ， 此 时 服务 需要 
求 付 款 。 然 后 ， 爱 丽 丝 在 她 的 地 址 上 向 鲍 勃 的 地 址 发 起 了 一 笔 比 特 币 交 
易 ， 并 问 整 个 网 络 广播 这 笔 交 易 。 我 们 假设 由 茶 个 诚实 市 点 来 制造 下 一 
个 区 块 ， 并 把 这 笔 交 易 放 进 这 个 区 块 中 。 因 此 ， 现 在 束 有 了 一 个 由 诚实 
闻 点 发 起 ， 包 含 代表 爱丽 丝 辣 商家 鲍 动 文 付 这 笔 交 易 在 内 的 区 块 了 。 


我 们 还 记得 一 个 交易 就 是 一 个 数据 结构 ， 里 面 有 爱丽 丝 的 数字 签 
名 ， 一 个 付 给 鲍 莪 的 公 铀 《地 址 ) 的 指令 和 一 个 哈 希 值 。 这 个 哈 希 值 代 
表 了 一 个 指针 ， 指 同 先前 的 一 笔 交 易 的 输出 ， 即 爱丽 丝 之 前 收 到 并 于 现 
在 消费 比特 币 。 这 个 指针 必须 指 同一 个 已 被 共识 链 上 的 某 个 之 前 的 区 块 
所 认可 的 交易 。 


顺便 说 一 下 ， 有 两 种 容易 混 消 的 不 同类 型 的 哈 希 指针 。 一 种 是 在 区 
块 内 用 来 表示 接 在 之 前 哪个 区 块 后 面 的 哈 希 指针 另 一 种 是 在 交易 里 的 
一 个 或 多 个 ， 用 来 指 癌 之 前 交易 里 说 明 比 特 币 来 源 的 哈 希 指针 。 


我 们 回 到 爱丽 丝 如 何 发 起 双重 文 付 攻击 这 个 问题 。 最 新 的 一 个 区 块 
由 一 个 减 实 节点 产生 ， 其 中 包含 爱丽 丝 下 载 软件 癌 鲍 劲 付费 的 交易 记 
录 。 妆 看 到 这 笔 交 易 被 放 入 区 块 链 后 ， 鲍 动 认为 爱丽 丝 已 经 向 他 付 球 ， 
便 允 许 爱 丽 丝 下 载 软件 。 假 设 在 下 一 个 回合 被 随机 选中 的 节 扣 恰巧 被 爱 
丽 丝 所 控制 。 现 在 因为 爱丽 丝 可 以 提议 下 一 个 区 块 ， 她 可 以 选择 忽略 挥 
前 面 那 个 包含 她 文 付 给 鲍 劲 的 那 笔 交 易 的 区 块 ， 而 产生 一 个 包含 指 问 之 
前 区 块 指针 的 区 块 。 不 仅 这 样 ， 在 这 个 区 块 里 ， 爱 丽 丝 可 以 放 进 一 笔 交 
易 ， 把 她 付 给 鲍 肠 的 币 转 到 一 个 被 她 所 控制 地 址 里 去 。 这 就 是 一 个 经 典 
的 双重 文 付 攻击 。 因 为 这 两 个 交易 用 的 是 同一 个 币 ， 只 有 一 个 交易 可 以 
被 放 进 区 块 链 。 所 以 如 条 爱丽 丝 成 功 地 把 币 转 到 她 控制 的 地 址 ， 那 个 她 
付 币 给 鲍 肛 的 交易 记录 将 变 得 无 效 ， 因 为 它 将 不 会 被 放 进 区 块 链 里 。 这 


一 过 程 详 见 图 2.2。 


图 2. 2 双重 支付 攻击 


注 : 爱丽 丝 创建 了 两 笔 交易 : 一 笔 是 她 付 给 鲍 勃 比特 币 的 交易 ， 另 一 笔 是 她 将 这 笔 
比特 币 重 复 支付 到 她 控制 的 另 一 个 地 址 。 因 为 这 两 笔 交易 用 相同 的 比特 币 支付 ， 所 
以 只 有 一 笔会 被 放 进 区 块 链 。 图 中 的 箭头 表示 一 个 区 块 链接 到 前 一 个 区 块 的 指针 ， 
通过 在 前 一 个 区 块 自己 的 内 容 中 包含 了 一 个 哈 希 值 进 行 了 扩展 。Ch 代 表 爱 丽 丝 拥 有 
的 币 。 


那 我 们 如 何 知 道 这 个 双重 支付 攻击 是 否 能 成 功 呢 ?这 取决 于 最 后 哪 
个 区 块 会 被 纳入 长 期 的 共识 链 ， 是 爱丽 丝 转 给 鲍 勃 的 区 块 ， 还 是 爱丽 丝 
转 给 爱丽 丝 自 己 的 区 块 。 是 什么 决定 了 哪 一 个 区 块 被 纳入 呢 ? 诚实 节点 
会 遵守 在 最 长 有 效 分 支 后 面 延展 这 一 规则 ， 那 到 底 在 哪个 分 支 后 面 延展 
呢 ? 并 没有 明确 的 答案 ! 目前 来 看 ， 这 两 条 分 支 长 度 一 样 ， 它 们 的 区 别 
是 仅 在 于 最 后 一 个 区 块 ， 并 且 这 两 个 区 块 都 是 有 效 的 。 选 择 下 一 个 区 块 
的 节点 可 以 决定 建立 在 其 中 一 个 区 块 上 。 这 个 选择 就 决定 了 双重 支付 攻 
击 的 成 功 与 否 。 


微妙 之 处 在 于 : 从 道德 角度 考虑 ， 这 两 个 分 支 截然 不 同 ， 一 个 是 包 
含 付 给 鲍 动 交易 的 区 块 ， 一 个 是 包含 爱丽 丝 把 这 些 币 双重 文 付 给 她 自己 
地 址 交易 的 区 块 。 但 这 个 区 别 仅仅 建立 在 我 们 知道 爱丽 丝 先 文 付 给 鲍 动 
再 试图 双重 支付 这 个 故事 的 基础 上 。 但 从 技术 角度 来 看 ， 这 两 笔 交 易 完 
全 一 致 ， 且 都 有 效 。 贡 点 没有 办 法 分 辨 出 哪 一 个 是 道义 上 合理 合法 的 交 
易 。 


实践 中 ， 节 点 往往 用 延展 它们 在 点 对 点 网 络 里 最 早 听 到 的 区 块 这 种 
启发 式 的 方法 。 但 这 不 是 一 个 无 懈 可 击 的 法 则 。 在 一 些 情况 下 ， 因 为 网 
络 延 迟 ， 很 可 能 它们 先 听 到 的 区 块 实际 上 是 后 被 创造 出 来 的 。 所 以 下 一 
个 提议 节点 至 少 是 有 可 能 选择 在 那个 包含 双重 文 付 的 区 块 上 延展 。 爱 丽 
丝 甚至 还 可 以 贿赂 下 一 个 提议 节点 来 加 大 这 个 可 能 性 。 不 管 出 于 什么 原 
因 ， 如 果 下 一 个 节点 真 的 接受 了 这 个 双重 文 付 的 区 块 ， 那 么 这 条 链 将 比 
包含 支付 给 鲍 勃 交易 的 那 条 链 更 长 。 基 于 此 ， 下 一 个 诚实 节点 就 有 可 能 
去 延展 这 条 链 ， 因 为 它 更 长 。 随 着 这 个 过 程 继续 ， 这 条 包含 双重 文 付 的 
链 会 更 有 可 能 成 为 长 期 共识 链 的 一 部 分 。 相 反 ， 那 个 包含 爱丽 丝 文 付 给 
鲍 勃 交易 区 块 的 链 会 被 网 络 完全 遗 筷 ， 成 为 一 个 孤 块 “orphan 
block) 。 


我 们 现在 从 商家 鲍 勃 的 立场 重新 考虑 整个 情况 。 理 解 饱 勃 如 何 保护 
自己 不 受 双重 文 付 攻击 是 理解 比特 币 安全 措施 的 重要 的 一 部 分 。 当 爱丽 
丝 三 播 她 癌 鲍 对 文 付 的 交易 时 ， 鲍 纪 也 在 网 上 上 听 着 ， 鲍 勃 在 下 一 区 块 被 
创建 之 前 承 能 听 到 这 笔 交 易 。 如 果 鲍 过 比 我 们 前 面 描述 的 更 加 草率 的 
话 ， 他 可 以 在 网 上 完成 检查 程序 ， 并 人 允许 爱丽 丝 此 时 下 载 软件 。 这 叫 作 
零 验 证 交易 (zero _ confirmation transactiom)。 这 将 导致 一 个 比 前 面 所 说 的 
更 加 基础 的 双重 支付 攻击 。 前 面 所 述 情况 ， 为 了 实现 双重 文 付 攻击 ， 我 
们 需要 假设 一 个 恶意 黑客 控制 了 发 起 下 一 个 区 块 的 节点 。 但 如 果 鲍 勃 允 
许 爱 丽 丝 在 没有 收 到 区 块 链 一 条 确认 信息 的 情况 下 就 下 载 软件 ， 那 么 爱 
丽 丝 可 以 立刻 广播 一 条 双重 文 付 交 易 ， 一 个 诚实 市 点 就 有 可 能 把 这 个 交 
易 放 进 下 一 区 块 ， 而 不 是 文 付 给 鲍 支 的 那 笔 交易 。 见 图 2.3。 


1 确认 数 3 确认 数 


双重 支付 攻击 的 测试 


看 到 C, 回 B 的 交易 广播 
0 确认 数 
图 2.3 从 鲍 勃 立场 来 看 双重 支付 

注 : 这 是 一 个 从 商家 鸳 勃 的 立场 来 看 爱丽 丝 做 的 双重 支付 尝试。 为 了 保护 自己 免 有 党 
双重 支付 攻击 ， 鲍 勃 应 当 等 爱丽 丝 向 他 支付 的 交易 被 区 块 链 包 侈 进去 ， 并 且 多 等 几 
次 确认 。 

另 一 方面 ， 一 个 谨慎 的 商家 甚至 在 看 到 交易 被 包含 在 一 个 区 块 后 仍 
然 不 会 允许 爱丽 丝 下 载 软件 ， 而 是 继续 等 待 。 如 果 鲍 勃 看 到 爱丽 丝 成 功 
发 起 了 双重 文 付 的 攻击 ， 他 会 意识 到 那个 含有 爱丽 丝 癌 他 文 付 的 交易 的 
区 块 有 可 能 已 经 被 丢弃 。 他 应 该 放弃 这 个 交易 ， 不 让 爱丽 丝 下 载 软件 。 
如 果 在 尝试 双重 支付 的 情况 下 ， 恰 巧 下 几 个 节点 还 是 建立 在 爱丽 丝 同 鲍 
盈 支 付 交 易 的 区 块 上 ， 那 鲍 动 就 相信 这 笔 交 易 会 被 纳入 长 期 共识 链 。 


忆 而 言 之 ， 一 个 交易 得 到 的 确认 越 多 ， 它 被 纳入 长 期 共识 链 的 概率 
就 越 大 。 如 前 文 所 述 ， 诚 实 节点 总 是 选择 延展 最 长 的 共识 链 。 因 为 长 链 
增长 更 多 ， 那 条 含有 双重 支付 的 短 链 妃 上 长 链 的 概率 会 变 得 越 来 越 小 。 
在 只 有 一 小 振 恶 意 节 点 的 情况 下 ， 这 个 结论 尤其 正确 。 因 为 短 链 要 想 赶 
上 ， 这 些 恶 意 市 点 需要 被 一 直 连 续 选 中 。 


事实 证 明 ， 双 重文 付 攻击 成 功 的 概率 将 随 独 确认 的 数目 的 增加 而 指 
数 级 降低 。 所 以 ， 如 果 你 感 兴趣 的 交易 已 经 收 到 k 个 确认 ， 双 重文 付 攻 
击 交 易 被 纳入 长 期 共识 链 的 概率 以 关于 k 的 一 个 函数 指数 级 下 降 。 在 比 
特 币 生态 系统 里 ， 最 常见 的 方法 是 等 6 个 确认 。 并 不 是 6 这 个 数字 有 什么 
特殊 意义 ， 只 不 过 ， 这 样 在 你 等 竺 的 时 间 与 确认 你 所 感 兴趣 的 交易 被 纳 
入 长 期 共识 链 之 间 做 了 很 好 的 平衡 三 。 


忆 结 起 来 ， 防 止 不 正当 交易 完全 是 用 密码 学 的 方法 。 但 这 些 方法 被 
共识 所 加 强 ， 意 思 是 一 个 节点 如 果 想 放 进 一 个 密码 学 上 不 正当 的 交易 ， 
这 个 交易 不 会 被 纳入 长 期 共识 链 的 唯一 原因 古 绝 大 多 数 的 市 上 是 诚实 
的 ， 不 会 把 一 个 不 正当 交易 放 进 区 块 链 。 妇 外 ， 防 止 双 重文 付 攻击 完全 
依赖 于 共识 ， 密 码 学 不 起 任何 作用 。 从 密码 角度 来 看 ， 这 两 个 交易 都 是 
正当 有 效 的。 但 共识 可 以 能 决定 哪个 被 放 进 长 期 共识 链 。 最 后 ， 你 无 法 
百分之百 保证 你 感 兴趣 的 交易 被 放 进 了 长 期 共识 链 。 但 指数 级 概率 保证 
了 不 错 的 结果 ，6 笔 交易 过 后 ， 实 质 上 你 没有 犯错 的 可 能 


1. 如 后 文 总 结 时 所 说 ， 并 没有 一 个 固定 的 数字 ， 但 6 是 个 常用 的 数目 。 一 一 译 者 注 


2.4 交 励 机 制 与 工作 量 证 明 


在 前 面 的 章节 里 ， 我 们 简单 了 解 了 比特 币 的 共识 算法 ， 以 及 为 什么 
我 们 直觉 上 相信 它 是 安全 的 。 但 我 们 回想 在 本 章 一 开始 谈 到 的 ， 比 特 币 
的 去 中 心 化 一 部 分 是 通过 技术 手段 ， 另 一 部 分 是 通过 聪明 的 激励 设计 来 
实现 的 。 截 至 目前 ， 我 们 主要 关注 的 还 是 技术 手段 。 现 在 ， 我 们 来 讨论 
比特 币 的 这 个 激励 设计 。 


之 前 我 们 试图 大 胆 相信 这 样 的 假设 ， 在 我 们 随机 选取 节点 时 ， 至 少 
有 50% 的 可 能 会 选中 诚实 市 皮 ， 这 或 许 是 有 问题 的 。 如 果 对 站 履 这 个 过 
程 的 参与 者 有 金钱 奖励 ， 这 个 关于 诚实 的 假设 就 格外 成 问题 ， 这 种 情况 
下 我 们 无 法 真 的 假设 茶 个 节点 是 诚实 的 。 所 以 这 个 问题 变 成 了 : 我 们 是 
否 可 以 给 予 表现 诚实 的 节点 奖励 ? 


我 们 再 思考 下 一 个 确认 以 后 的 双重 文 付 尝试 〈 见 图 2.3) 。 我 们 是 
个 可 以 第 如 那个 创建 包含 双重 文 付 区 块 的 节点 ”好 吧 ， 其 实 不 行 。 就 像 
我 们 前 面 说 的 ， 因 为 我 们 无 法 判断 哪 笔 交易 是 道义 上 合法 的 。 即 使 我 们 
知道 ， 我 们 也 很 难 惩 避 它们 ， 因 为 节点 没有 身份 。 那 我 们 反 过 来 思考 ， 
我 们 是 舍 可 以 交 励 那些 创造 的 区 块 最 终 被 放 入 长 期 共识 区 块 的 市 友 ? 然 
而 ， 同 样 因 为 这 些 节 点 并 没有 透露 它们 真实 世界 中 的 吴 份 ， 我 们 不 可 能 
给 他 们 的 家 许 地 址 寄 去 现金 。 要 是 有 某 种 可 以 代 瞪 的 数字 货币 .…… 你 大 
概 猜 到 该 怎么 做 的 。 我 们 可 以 用 比特 币 来 奖励 创造 这 些 区 块 的 节点 。 


让 我 们 暂停 一 人 下。 之前， 我 们 讨论 的 都 是 用 抽象 的 算法 来 实现 分 布 
式 共 识 ， 并 不 是 针对 茶 个 具体 的 应 用 。 我 们 现在 要 跳出 模型 ， 使 用 事 
实 ， 我 们 建立 这 个 分 布 式 共识 过 程 的 应 用 实际 上 就 是 一 种 货币 。 明 确 地 
说 ， 我 们 要 以 这 种 货币 为 日 位 奖励 那些 表现 诚实 的 市 点 。 


区 块 奖励 


这 是 怎么 做 到 的 ?比特 币 里 有 两 种 不 同 的 奖励 机 制 。 其 中 一 个 残 是 
区 块 奖励 。 根 据 比 特 币 的 规则 ， 创 建 区 块 的 市 点 可 以 在 这 个 区 块 中 加 入 
一 笔 特 别 的 交易 。 这 笔 交 易 融 是 一 个 造 币 的 交易 ， 类 似 于 财 奴 币 里 面 的 
造 币 ， 节 点 可 以 指定 这 笔 区 易 的 接收 地 址 。 当 然 ， 市 点 通常 都 会 选择 一 
个 属于 上 自己 的 地 址 。 你 可 以 把 这 视 为 对 节点 在 共识 链 上 进行 创建 区 块 服 
务 的 报酬 。 


在 写本 书 时 ， 区 块 奖励 金额 定 在 25 个 比特 币 。 但 每 生成 210 ”000 个 
区 块 ， 金 额 就 会 减 半 。 根 据 区 块 生 成 的 速度 ， 我 们 可 以 看 到 ， 这 个 金额 
大 概 每 4 年 减 半 一 次 。 我 们 现在 处 在 第 二 个 4 年 。 比 特 币 存在 的 最 初 4 
年 ， 区 块 奖 励 金额 为 50 个 比特 币 ， 现 在 是 25 个 比特 币 。 然 后 会 不 断 减 
半 。 这 将 造成 一 些 有 意思 的 结果 ， 我 们 不 久 会 看 到 。 


你 可 能 会 问 为 什么 区 块 奖 励 能 做 到 误 励 碱 实行 为 。 给 予 我 们 目前 讨 
论 的 ， 从 表面 上 看 ， 这 个 市 点 无 论 提议 一 个 正当 有 效 的 区 块 还 是 恶意 伪 
造 ， 都 会 受到 奖励 。 但 其 实 并 非 如 此 ! 想 一 想 这 个 节点 是 如 何 收取 奖励 
的 ? 奖励 只 有 妆 区 块 最 终 被 纳 入 长 期 共识 链 才 会 实现 。 因 为 造 币 交 易 和 
其 他 每 一 笔 交 易 一 样 ， 只 有 当 它 最 终 被 纳入 共识 链 ， 才 会 被 其 他 节点 接 
受 。 这 就 是 比特 币 奖 励 制度 的 一 个 关键 概念 。 这 是 一 个 十 分 微妙 却 十 分 
强大 的 设计 。 这 个 设计 激励 贡 氮 想方设法 让 其 他 节点 延展 它们 目 己 的 区 
块 。 因 此 如 果 网 络 中 大 部 分 节点 遵循 去 延展 最 长 文 链 的 规则 ， 那 这 样 的 
设计 将 激励 所 有 节点 去 遵循 这 个 规则 。 这 就 是 比特 币 的 第 一 个 奖励 机 
制 |。 


我 们 前 面 提 到 每 产生 210 000 个 区 块 (大约 4 年 )， 区 块 奖励 将 被 减 
半 。 在 图 2.4 中 ， 曲 线 的 斜率 将 持续 减 半 。 这 是 一 个 等 比 数列 ， 你 可 能 
知道 数列 的 总 和 是 有 上 限 的 。 最 终 一 共 是 21 000 000 个 比特 币 。 


注意 ， 这 是 新 比特 币 被 允许 创造 出 来 的 唯一 途径 ， 没 有 任何 其 他 新 
增 币 的 机 制 。 所 以 这 是 为 什么 比特 币 最 终 的 数量 是 2 ” 100 万 “至 少 目前 
的 规则 规定 是 这 样 ) 。 按 照 现 在 奖励 发 放 的 速度 ， 到 了 2140 年 比特 币 区 
块 奖励 束 及 完了 。 这 是 人 否 意 味 着 这 个 系统 到 了 2140 年 就 无 法 继续 运行 ， 
并 且 因 为 不 再 有 奖励 诚实 行为 的 激励 而 变 得 不 安全 呢 ? 不 是 这 样 的 。 因 
为 区 块 奖 励 只 是 比特 币 两 种 奖励 机 制 之 一 。 


第 一 个 奖励 的 拐点 
控 矿 的 次 奖励 从 50 个 比特 币 减 半 到 25 个 比特 币 
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图 2.4 比特 币 的 总 供应 量 


注 : 区 块 奖励 每 4 年 减 半 一 次 ， 限 制 了 比特 币 的 供应 上 限 为 2 100 万 个 。 这 是 一 个 简 
化 的 模型 ， 实 际 中 的 曲线 会 有 轻微 的 差异 ， 但 都 有 2 100 万 的 上 限 限 制 。 
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比特 币 的 第 二 个 奖励 机 制 称 为 交易 费 。 任 何 交 易 的 制造 者 都 可 以 选 


择 让 交易 输出 值 比 输入 值 小 。 第 一 个 创建 区 块 把 交易 放 进 区 块 链 的 人 可 
以 取得 这 个 兰 额 ， 作 为 交易 费 。 如 果 你 是 一 个 节点 ， 正 在 创建 一 个 包含 
200 笔 交易 的 区 块 ， 那 么 这 200 笔 交易 的 交易 费 将 会 被 付 到 你 放 在 区 块 内 
的 那个 地 址 。 这 些 交 易 费 现在 是 完全 自愿 的 ， 但 古 我 们 可 以 预见 ， 随 着 
区 块 奖励 逐渐 发 完 ， 交 易 费 会 变 得 越 来 越 重 要 ， 几 乎 是 必需 的 ， 因 为 用 
户 需 要 通过 交易 寓 来 保障 合理 的 服务 质量 。 从 茶 种 程度 上 来 说 ， 这 已 经 
开始 有 发生。 但 目前 还 不 清楚 这 个 系统 会 如 何 演变 一 一 这 取决 于 还 并 不 完 
善 的 博 蛮 论 的 研究 与 发 展 。 这 也 是 比特 币 一 个 很 有 趣 的 研究 领域 。 


我 们 在 描述 共识 机 制 时 还 有 一 些 问 题 没 有 解答 。 第 一 个 主要 问题 是 
我 们 要 你 相信 这 样 的 假设 : 我 们 能 随机 选取 一 个 节点 。 第 二 个 是 因 交 励 
那些 市 点 参与 而 产生 的 新 问题 ， 如 果 大 家 都 想来 分 一 杯 茵 成 为 一 个 市 反 
来 获得 这 些 奖 励 的 话 ， 整 个 系统 会 变 得 不 稳定 。 第 三 个 是 第 二 个 问题 的 
复杂 上 版， 就 是 可 能 会 有 攻击 者 创建 大 量 的 女 及 节点 来 洽 试 颠 履 整个 共识 
过 程 。 


挖 矿 与 工作 量 证 明 


事实 证 明 ， 这 些 问题 都 是 相互 联系 的 ， 所 有 这 些 问题 都 有 相同 的 解 
决 办 法 一 一 工作 量 证 明 (proof of work) 。 工 作 量 证 明 的 核心 理念 是 ， 
我 们 把 随机 选取 节点 改 为 根据 节点 占有 某 种 资源 的 比例 来 选取 节点 ， 我 
们 希望 这 种 资源 是 没有 人 可 以 垄断 的 。 比 如 说 ， 如 果 这 个 资源 是 计算 能 
力 ， 那 我 们 称 之 为 工作 量 证 明 系 统 。 或 者 这 个 资源 可 以 是 某 种 币 的 拥有 
量 ， 我 们 称 之 为 权益 证 阴 (proof of stake) 。 虽 然 比 特 币 没 有 使 用 ， 但 
权益 证 明 也 是 另 一 种 合格 的 模式 ， 并 被 其 他 加 密 货 币 所 使 用 。 我 们 将 在 
第 8 章 中 更 多 地 讨论 权益 证 明和 其 他 工作 量 证 明 的 变种 。 


先 回 到 工作 量 证 明 。 我 们 试 着 更 好 地 理解 根据 计算 能 力 来 选择 节点 
到 展 是 什么 意思 。 换 一 个 角度 理解 ， 我 们 是 允许 节点 用 它们 的 计算 能 


来 互相 竞争 ， 导 致 的 结 末 是 计算 能 力 的 比例 决定 了 市 点 极目 动 选 中 的 概 
率 。 工 作 量 证 明 还 有 一 种 理解 方式 ， 即 我 们 把 制造 新 身份 的 难度 适度 提 
高 了 。 这 就 好 像 是 对 制造 新 号 份 ， 继 而 对 女巫 攻击 收 税 一 样 。 这 听 起 来 
好 像 有 点 模糊 ， 我 们 接 下 来 看 下 比特 币 使 用 时 工作 量 证 明 体系 的 细节 ， 
事情 就 变 得 清楚 多 了 。 


比特 币 是 用 哈 希 函数 解 谜 来 证 明 工 作 量 的 。 任 何 一 个 提议 并 创建 区 
块 的 市 点 想 要 制造 下 一 块 ， 这 个 节点 必须 要 找到 一 个 数 ， 或 者 我 们 把 它 
称 为 临时 随机 数 〈 见 第 1 章 1.1 节 ) 。 当 你 把 这 个 临时 随机 数 、 前 序 块 的 
哈 布 值 还 有 要 填 进 这 个 区 块 的 交易 列表 连接 起 来 ， 组 成 一 整 串 字符 ， 然 
后 用 哈 厦 函数 计算 这 一 整 串 字符 的 输出 值 ， 这 个 输出 值 正好 要 落 在 一 个 
相对 于 这 个 哈 厦 函数 所 有 可 能 的 输出 中 很 小 的 目标 区 间 内 。 用 公式 来 表 
示 的 话 ， 束 是 临时 随机 数 要 满足 下 面 的 不 等 式 : 


H(noncelprev_hashltxltxl.. .ltx)<target 


就 像 我 们 前 面 看 到 的 ， 通 常 一 个 区 块 会 包含 这 个 节点 提议 的 一 系列 
交易 。 而 且 ， 这 个 区 块 还 会 包含 一 个 指向 前 序 区 块 的 哈 希 指针 我 们 这 
里 说 的 哈 希 指针 是 一 个 宽泛 的 概念 。 这 个 指针 只 是 文本 中 的 字符 串 ， 它 
并 不 需要 告诉 我 们 去 哪里 找到 这 个 区 块 。 我 们 可 以 通过 在 网 上 询问 其 他 
的 节点 找到 区 块 。 重 要 的 是 ， 这 个 哈 希 值 既 作 为 我 们 在 网 络 上 请 求 其 他 
节点 寻找 区 块 的 ID， 又 能 够 让 获取 这 个 区 块 后 验证 它 ) 。 除 此 之 外 ， 我 
们 现在 还 要 求 区 块 包含 一 个 临时 随机 数 。 这 个 想法 是 为 了 适度 提高 发 现 
符合 要 求 的 临时 随机 数 的 难度 ， 即 把 包含 临时 随机 数 在 内 的 整个 区 块 的 
哈 希 值 组 合 到 一 起 ， 输 出 结果 要 是 一 种 特定 的 形式 。 如 果 哈 希 函数 符合 
我 们 在 第 1 章 中 所 描述 的 谜 题 友 好 特性 ， 那 唯一 解 出 哈 希 谜 题 的 办 法 就 
是 去 试 足够 多 的 临时 随机 数 ， 直 到 成 功 为 止 。 具 体 来 说 ， 如 果 这 个 目标 
区 域 是 所 有 可 能 的 输出 的 1%， 那 你 大 概 就 要 试 100 次 才能 成 功 。 事 实 
上 ， 这 个 目标 区 域 远 比 输出 范围 的 1% 小 得 多 得 多 ， 我 们 后 面 就 能 
到 。 


用 这 种 哈 希 函数 解 恋 以 及 工作 量 证 明 的 办 法 ， 我 们 可 以 完全 合 茎 采 
取 那 种 随机 选取 市 点 的 办 法 。 这 些 节 后 在 莞 搜 喻 希 函 数 解 迹 的 过 程 中 一 
直 都 是 互相 独立 的 。 有 时 一 个 市 点 鸿运 当 头 ， 正 好 友 现 一 个 临时 随机 数 
可 以 满足 要 求 。 这 个 竺 运 的 节点 束 可 以 提议 创建 下 一 个 区 块 了 。 这 就 是 
比特 币 系 统 实现 完全 去 中 心 化 的 方式 ， 没 有 任何 人 能 决定 谁 可 以 提交 下 
一 区 块 。 


难于 计算 


哈 希 谜 题 有 三 个 重要 的 特性 。 第 一 个 特性 是 要 有 一 定 的 难度 。 我 们 
前 面 说 适度 的 难度 ， 其 实 你 马上 会 看 到 难度 实际 上 是 随时 间 而 改变 的 。 
在 2014 年 年 底 ， 产 生 一 个 区 块 平 均 要 做 10 扣 次 哈 希 运算 。 换 言 之， 目标 
区 域 仅仅 是 整个 输出 范围 的 V10”。 这 是 超大 的 计算 量 一 一 举例 来 说 ， 
超过 了 商业 化 笔记 本 电脑 可 能 的 计算 范畴 。 因 此 ， 只 有 一 些 节 点 还 在 不 
大 其 烦 地 苋 搜 造 块 。 这 个 不 集 尝 试 解 哈 希 迹 题 的 过 程 ， 就 是 我 们 听 说 的 
比特 币 挖 矿 ， 参 与 挖 矿 的 厄 反 钻 称 为 矿工 。 尺 管 技 术 上 每 个 人 都 可 以 成 
为 矿工 ， 但 由 于 控 矿 的 高 成 本 导致 了 挖 矿 生态 系统 要 消耗 大 量 能 源 。 


可 参数 化 成 本 


第 二 个 特性 是 ， 我 们 希望 成 本 是 可 以 通过 参数 来 变化 的 ， 而 不 是 一 
个 固定 值 。 在 比特 币 的 点 对 点 网 络 里 ， 是 这 样 来 达到 这 一 特性 的 : 每 产 
生 2 016 个 区 块 之 后 ， 所 有 的 节点 都 会 自动 重新 计算 目标 区 域 相对 于 整 
个 输出 范围 的 比例 大 小 ， 使 得 后 续 的 区 块 产生 的 时 间 间 隅 约 为 10 分 钟 。 
两 个 区 块 之 间 的 平均 间隔 是 10 分 钟 ，2 ”016 个 区 块 就 需要 两 个 星期 。 所 
以 大 约 每 两 个 星期 ， 目 标 区 域 的 大 小 会 被 重新 计算 一 次 。 


我 们 想 一 下 这 意味 着 什么 。 如 末 你 是 个 矿工 ， 你 花 了 一 定 的 费用 投 
资 了 一 些 人 硬件 来 做 比特 币 挖 矿 。 但 是 整个 挖 矿 体 系 在 不 断 增 加 ， 越 来 越 
多 的 矿工 加 入 这 个 行业 ， 或 是 他 们 部 团 了 运算 越 来 越 快 的 硬件 设备 ， 那 
两 个 星期 的 时 间 段 里 ， 被 找到 的 区 块 可 能 比 预期 的 要 多 一 点 。 然 后 ， 那 
些 节 点 就 会 目 动 调整 目标 区 域 ， 你 要 找到 一 个 块 所 要 做 的 工作 量 惑 随 之 
增加 。 所 以 如 果 你 投了 一 笔 固 定 资金 在 便 件 上 ， 你 找到 下 一 区 块 的 速率 
实际 上 取决 于 其 他 矿工 在 做 什么 。 有 一 个 公式 可 以 很 好 地 描述 这 一 点: 
任何 一 个 矿工 ， 比 如 爱丽 经， 找到 下 一 区 块 的 概率 ， 就 相当 于 她 控制 的 
计算 力 占 整个 全 球 计算 力 的 比例 。 这 意味 着 ， 如 果 爱 丽 丝 的 挖 矿 设备 的 
计算 能 力 占 全 部 计算 能 力 的 0.1%， 那 大 概 每 产生 1 ”000 个 区 块 ， 她 就 可 
以 找到 一 个 区 块 。 


这 样 重新 调整 的 目的 是 什么 ? 我 们 为 什么 想 要 维持 10 分 钟 间隔 不 
变 ? 原因 很 镜 蛙 。 如 果 区 块 产生 的 间隔 太 小 ， 就 会 造成 很 多 低 效率 ， 我 
们 还 会 失去 许多 优化 上 的 好 处 ， 比 如 在 一 个 区 块 内 放 入 大 量 的 交易 。10 
分 钟 并 没有 神奇 之 处 ， 如 果 把 10 分 钟 下 调 到 5 分 钟 大 概 也 可 以 。 关 于 其 
他 加 密 货 币 的 理想 区 块 间 隅 应 该 是 多 少 ， 已 经 有 很 多 讨论 。 除 去 关于 理 
想 间隔 的 不 同意 见 ， 大 家 都 认为 应 该 是 个 固定 的 值 。 它 不 允许 被 无 限 降 
低 。 这 就 是 为 什么 我 们 有 自动 重新 计算 目标 区 域 的 特征 。 


这 个 成 本 函数 和 工作 量 证 明 的 设 定 方 式 ， 让 我 们 重新 审视 比特 币 的 
安全 假设 。 现 在 我 们 终于 可 以 丢 径 之 前 让 你 盲目 相信 的 假设 。 不 必 再 去 
说 那些 连 吴 份 都 没有 的 节 氮 大 多 数 是 城 实 的 了 ， 茂 实 具 体 代 表 什 么 也 并 
不 清楚 ， 我 们 现在 可 以 清楚 地 表述 ， 只 要 以 计算 能 力 为 权重 的 大 多 数 矿 
工 ， 遵 循 比特 币 协 议 ， 或 者 说 是 诚实 的 ， 那 么 比特 币 中 的 大 量 攻 击 就 都 
没有 可 能 发 生 。 因 为 如 果 以 计算 能 力 为 权重 的 大 多 数 矿工 是 诚实 的 ， 所 
议 下 一 个 区 块 的 竞 搜 会 自动 保证 在 任意 时 间 点 ， 下 一 个 区 块 至 少 有 50% 
的 概率 是 由 一 个 诚实 节点 提议 的 。 


矿工 行为 的 两 种 行为 模式 


在 分 布 式 系统 和 计算 安全 研究 领域 ， 假 设 一 定 比例 的 节点 是 城 实 
的 ， 来 展示 在 其 他 节点 表现 随意 的 情况 下 ， 系 统 如 何 按照 预期 运行 ， 
是 很 常见 的 方法 。 这 是 我 们 采用 的 基础 方法 ， 除 了 以 计算 能 力 为 权重 
计算 大 多 数 之 外 。 最 初 的 比特 币 日 皮 书 也 包含 了 这 样 的 分 析 。 


但 博弈 论 领域 给 出 了 一 种 完全 不 同 的 ， 更 复杂 且 实 际 的 方法 来 决 
定 系 统 如 何 运 行 。 这 个 观点 不 区 分 市 反 诚 实 或 恶意 ， 而 是 假设 每 个 市 
扩 痢 按 上 自己 的 意愿 行动 。 每 个 节点 考虑 其 他 市 点 的 潜在 可 能 策略 之 
后 ， 采 用 一 种 (随机 的 〉 集 略 最 大 化 上 自己 的 回报 。 如 果 协 议和 激励 机 
制 设计 得 当 ， 大 多 数 节 点 在 大 多 数 时 候 会 遵循 这 个 规则 。“ 城 实 ” 的 行 
为 只 是 许多 策略 中 的 一 种 ， 我 们 在 道德 上 并 不 依赖 于 此 。 

博 奉 论 的 观点 认为 ， 最 大 的 问题 是 矿工 默认 的 行为 是 售 是 一 
种 “纳什 均衡 ”(Nash ”equilibrium〉 ， 即 这 是 否 代表 了 一 种 稳定 的 状 
态 ， 在 这 种 状态 下 没有 节点 可 以 通过 表现 不 城 实 而 获得 更 高 的 回报 。 
针对 这 个 问题 现在 各 界 仍 有 争议 ， 并 且 是 一 个 活跃 的 研究 领域 。 


解 哈 希 谜 题 是 概率 性 的 ， 因 为 没有 人 可 以 预测 到 哪个 临时 随机 数 会 
解 出 谜 题 。 唯 一 的 方法 是 一 个 一 个 去 试 临时 随机 数 ， 并 希望 能 够 成 功 。 
在 数学 上 ， 这 被 称 为 们 努 利 试验 (Bernoulli trial) 。 伯 努 利 试验 是 一 种 
有 两 种 可 能 结果 的 试验 ， 在 连续 试验 下 ， 每 种 结果 发 生 的 概率 是 固定 
的 。 在 这 里 ， 两 种 结果 是 哈 希 值 是 否 沙 在 目标 区 域内 ， 假 设 哈 希 函 数 像 
随机 函数 一 样 ， 那 些 结果 的 概率 都 是 固定 的 。 典 型 地 ， 节 点 多 次 演 试 临 
时 随机 数 的 伯 努 利 试验 是 一 个 离散 概率 过 程 ， 它 可 以 用 一 个 叫 作 泊 松 过 
程 (Poisson ”process) 的 连续 概率 过 程 近 似 表 示 ， 在 泊 松 过 程 中 ， 事 件 
以 固定 的 速率 独立 出 现 。 最 后 的 结果 是 ， 发 现下 一 个 区 块 所 需要 时 间 的 


概率 密度 函数 ， 见 图 2.5。 


10 分 钟 


发 现下 一 个 区 块 的 时 间 ( 全 网 ) 
图 2.5 发 现下 一 个 区 块 所 需 时 间 的 概率 密度 函数 


这 被 称 为 指数 分 布 。 假 设 一 个 区 块 现在 被 及 行 ， 下 一 个 区 块 有 一 定 
的 小 概率 很 快 被 有 发现， 比如 几 秒 钟 或 几 分 钟 。 也 有 一 定 的 小 概率 花 了 较 
长 时 间 才 发 现下 一 个 区 块 ， 比 如 一 小 时 。 但 忌 体 来 说 ， 网 络 会 自动 调整 
难度 使 得 区 块 间 隅 时 间 的 长 期 均值 维持 在 10 分 钟 。 注 意图 2.5 表 示 的 是 
整个 网 络 内 区 块 被 创造 出 来 的 频率 ， 而 不 是 哪个 矿工 事实 上 友 现 了 这 个 
区 块 。 

如 果 你 是 一 名 矿工 ， 你 大 概 想 知道 要 多 长 时 间 才 能 找到 下 一 区 块 ? 
这 个 概率 密度 函数 会 是 什么 样 ? 它 的 形状 会 相同 ， 但 x 轴 的 坐标 不 一 
样 。 可 以 用 一 个 漂亮 的 公式 表示 : 


对 于 茶 个 特定 的 矿工 : 
发 现下 一 区 块 的 平均 时 间 =10 分 钟 / 占 全 部 计算 能 力 的 比例 


如 果 你 有 全 网 络 0.1% 的 计算 能 力 ， 这 个 公式 告诉 我 们 ， 你 每 10 000 
分 钟 能 找到 一 个 区 块 ， 大 约 一 个 星期 。 不 仅 是 你 发 现 区 块 的 时 间 间 隔 非 
常 长， 时间 间 隔 的 波动 也 会 非常 大 。 因 此 产生 的 一 些 重要 结论 我 们 在 第 
5 章 会 讲 到 。 


易于 证 实 


现在 回 到 工作 量 证 明 函 数 第 三 个 重要 的 特性 ， 就 是 证 实 一 个 节点 正 
确 地 计算 了 工作 量 证 明 很 容易 。 即 使 一 个 节点 要 党 试 10 所 次 来 找到 使 区 
块 哈 希 值 落 在 目标 范围 内 的 临时 随机 数 ， 并 且 临 时 随机 数 必须 是 作为 区 
块 的 一 部 分 被 公布 出 来 。 这 样 任何 其 他 市 点 很 容易 检查 区 块 的 内 容 ， 计 
算 它 的 哈 希 值 ， 证 实 它 的 输出 在 目标 区 域内 。 这 是 个 相当 重要 的 特征 ， 
因为 这 样 使 得 我 们 摆脱 了 中 心 化 管理 。 我 们 不 需要 一 个 中 央 权 威 机 构 来 
证 明 矿工 正确 地 完成 了 工作 。 任 何 贡 点 或 者 矿工 ， 都 可 以 迅速 地 证 实 其 
他 矿工 找到 的 区 块 符合 工作 量 证 明 的 规定 。 


1. 这 段 话 很 抛 口 ， 也 难 届 。 打 个 比方 ， 假 如 你 是 个 炮兵 ， 那 些 前 序 区 块 哈 希 值 加 上 所 
有 要 打包 的 交易 就 是 炮弹 ， 哈 希 函 数 就 是 大 炮 ， 临 时 随机 数 就 好 比 瞄 准 器 ， 你 所 想 击 中 
的 目标 ， 比 如 一 个 指挥 所 ， 它 肯定 在 你 能 打 到 的 范围 内 ， 但 非常 小 ， 而 且 其 实 根 本 不 知 
道 在 哪里 。 击 中 目标 的 唯一 办 法 是 狂 胡 滥 炸 ， 这 就 是 比特 币 工 作 量 的 概念 ， 炸 的 越 多 ， 
击 中 的 概率 越 高 。 如 果 这 个 指挥 所 的 目标 区 域 是 受 击 区 域 1% 大 的 话 ， 你 大 概 平均 要 发 出 
100 枚 炮弹 才 可 能 击 中 目标 。 译 者 注 


2.5 忌 结 


控 矿 成 本 


我 们 现在 来 看 一 下 挖 矿 经 济 学 。 前 文 提 到 过 ， 作 为 矿工 挖 矿 是 十 分 
昂贵 的 。 按 现在 的 难度 ， 找 到 下 一 个 单独 的 区 块 需要 计算 10 包 个 哈 希 
值 ， 区 块 奖 励 约 是 25 个 比特 币 ， 按 照 现 在 的 比特 币 汇率 ， 是 不 小 的 一 笔 
钱 。 这 些 数据 可 以 让 我 们 简单 地 计算 出 挖 矿 是 否 赚钱 。 我 们 可 以 用 这 个 
简单 的 逻辑 来 做 这 个 决定 : 


如 果 : 

挖 矿 奖励 > 挖 矿 成 本 

那么 : 

矿工 赚钱 

条 件 是 : 

挖 矿 奖励 = 区 块 奖励 + 交易 费 

挖 矿 成 本 = 硬件 成 本 + 运营 成 本 电费、 空调 费 等 ) 


基本 上 ， 矿 工 的 挖 矿 奖励 束 是 区 块 奖励 和 交易 费 。 人 矿工 目 己 与 总 的 
文 出 相 比较 ， 包 括 硬件 和 电费 成 本 。 


但 这 个 简单 的 公式 也 有 几 个 复杂 的 地 方 : 第 一 ， 硬 件 投资 是 固定 
的 ， 但 电费 是 个 变量 ， 随 时 间 变 化 。 第 二 个 复杂 之 处 是 ， 矿 工 得 到 的 奖 


励 取决 于 他 们 发 现 区 块 的 速度 ， 这 不 仅 取决 于 他 们 硬件 的 能 力 ， 还 取决 
于 他 们 的 计算 能 力 占 全 球 计 算 能 力 的 比例 。 第 三 是 挖 矿产 生 的 成 本 通常 
征用 美元 和 其 他 传统 货币 表示 的 ， 但 他 们 得 到 的 奖励 是 比特 币 。 所 以 这 
个 方程 在 任何 时 候 都 有 一 个 隐藏 的 因素 ， 就 是 比特 币 的 汇率 。 第 四 ， 到 
目前 为 止 ， 我们 都 假设 矿工 会 诚实 地 遵守 协议 。 但 矿工 有 可 能 选择 用 一 
些 其 他 的 挖 矿 策略 ， 而 不 总 是 试图 延展 最 长 的 有 效 分 文 。 所 以 这 个 方程 
没有 吉 括 所 有 矿工 可 以 用 到 的 不 同 策略 的 细微 送别 。 事 实 上 ， 要 想 分 析 
分 矿 是否 有 意义 ， 是 一 个 博 蛮 论 问题 ， 没 有 那么 容易 找到 答案 。 


到 此 为 止 ， 我们 已 经 较 好 地 理解 了 比特 币 如 何 实现 去 中 心 化 。 我 们 
现在 总 结 一 些 关 键 点 ， 放 在 一 起 以 便 更 好 地 理解 。 


我 们 首先 从 号 份 开始 。 根 据 我 们 知道 的 ， 比 特 币 协议 不 需要 真实 世 
界 的 号 份 就 可 以 参与 。 任 何 用 户 任 何 时 刻 都 可 以 制造 一 对 匿名 的 钥 古 。 
如 果 爱 丽 丝 想 付 给 鲍 动 比特 币 ， 比 特 币 协议 里 没有 详细 说 明 爱 丽 丝 如 何 
得 知 鲍 动 的 地 址 。 在 这 些 匿名 的 钥 是 对 用 作 喘 份 的 情况 下 ， 交 易 其 实 古 
向 整个 点 对 点 网 络 广播 的 信息 ， 把 比特 币 从 一 个 地 址 转 到 另 一 个 地 址 。 
比特 币 只 是 交易 输出 ， 我 们 在 下 一 半 市 会 深入 讨论 这 个 问题 。 


不 存在 所 谓 “1 比 特 币 ” 这 样 的 东西 


比特 币 没 有 固定 面额 ， 不 像 美元 。 具 体 来 说 ， 没 有 “1 比特 币 ” 这 
样 的 特别 名 称 。 比 特 币 只 不 过 是 交易 输出 ， 在 现在 的 规则 里 ， 它 们 可 
以 是 精确 到 小 数 点 后 8 位 的 任意 值 。 可 能 的 最 小 价值 是 0.000 000 01 
BITC 比特 币 )， 我 们 称 之 为 1 个 中 本 聪 〈 比 特 币 的 发 明 人 )。 


比特 币 点 对 点 网 络 的 目标 ， 是 把 所 有 新 的 交易 与 新 的 区 块 传播 到 所 
有 比特 币 节点 。 但 这 个 网 络 很 不 完美 ， 只 能 尽 其 所 能 来 传递 信息 。 这 个 


系统 的 安全 性 不 是 来 自 上 反对 反 网 络 的 完美 ， 而 是 来自 我们 本 章 中 重点 讨 
论 的 区 块 链 和 共识 协议 。 


当 我 们 说 一 个 交易 被 放 进 了 区 块 链 ， 我 们 真实 的 意思 是 这 笔 交 易 已 
被 确认 了 许多 次 。 对 于 多 少 次 确认 足以 让 我 们 确信 交易 已 包含 在 和 内， 并 
没有 一 个 固定 的 数字 ， 但 6 次 是 个 利用 的 数目 。 一 笔 交 易 收 到 的 确认 越 
多 ， 你 就 越 可 以 确信 这 笔 交 易 被 放 进 了 区 块 链 。 经 常会 有 一 些 孤 块 ， 或 
者 没有 进入 共识 链 的 区 块 。 有 很 多 原因 可 以 导致 一 个 区 块 变 为 扳 块 。 这 
个 区 块 可 能 包含 一 个 不 正当 交易 ， 或 者 试图 双重 文 付 。 也 有 可 能 是 网 络 
延迟 ， 这 里 指 的 是 ， 两 个 矿工 可 能 相隔 儿 秒 找到 了 新 的 区 块 ， 这 两 块 几 
乎 同时 被 广播 到 网 上 ， 那 其 中 一 块 肯定 会 被 丢弃 。 


最 后 我 们 看 了 哈 希 谜 题 与 挖 矿 。 矿 工 是 决定 参与 创造 新 区 块 竞争 的 
特殊 类 型 节点 。 如 果 其 他 矿工 继续 在 他 们 的 区 块 上 搭建 的 话 ， 对 于 他 们 
努力 的 回报 是 新 造 的 比特 币 (新 区 块 奖励 ) 和 已 经 存在 的 比特 币 (交易 
费 ) 。 很 微妙 也 很 重要 的 一 点 是 : 假设 爱丽 丝 比 鲍 勃 的 计算 能 力 要 强大 
100 倍 ， 但 这 并 不 意味 着 爱丽 丝 一 定 能 够 赢得 找到 下 一 区 块 的 竞赛 ， 而 
是 爱丽 丝 和 鲍 勃 发 现 新 区 块 的 概率 比率 是 100 : 1。 长 期 下 来 ， 鲍 勃 找到 
的 区 块 数量 是 爱丽 丝 的 1/100。 


我 们 预计 矿工 们 会 处 在 经 济 平衡 点 附近 ， 意 味 看 他 们 得 到 的 奖励 大 
致 等 于 他 们 在 硬件 与 电费 上 的 花费 。 理 由 是 如 果 一 个 矿工 持续 亏 钱 ， 他 
会 停止 挖 矿 。 反 之 ， 如 果 人 硬件 和 电费 固定 的 情况 下 ， 挖 矿 利润 很 高 ， 那 
更 多 的 挖 矿 设 备 会 加 入 网 络 。 计 算 能 力 的 增加 会 导致 难度 提高 ， 每 个 矿 
工 预期 的 回报 便 会 降低 。 


比特 币 深度 使 用 了 分 布 式 共 识 的 概念 。 在 传统 货币 系统 中 ， 共 识 的 
作用 是 有 限 的 。 具 体 来 说 ， 有 一 个 共识 过 程 来 决定 货币 的 汇率 。 这 在 比 
特 币 里 当然 也 是 对 的 一 一 我 们 需要 围 经 比特 币 价 值 的 共识 。 但 在 比特 币 
里 ， 我 们 还 需要 对 账本 情况 的 共识 ， 这 是 由 区 块 链 来 完成 的 。 换 人 句 话 
说 ， 甚 至 你 拥有 多 少 比特 币 的 算法 都 是 依赖 共识 的 。 当 我 们 说 爱丽 丝 拥 


有 一 定数 量 的 比特 币 ， 我 们 真实 的 意思 是 说 在 比特 币 点 对 点 网 络 ， 在 区 
块 链 中 记录 的 所 有 爱丽 丝 地 址 上 拥有 的 比特 币 数量 总 额 。 这 是 比特 币 系 
统 的 一 个 终极 真相 : 拥有 比特 币 束 是 其 他 节点 对 给 定 的 一 方 拥 有 这 些 比 
特 币 的 共识 。 


最 后 ， 我 们 必须 对 整个 系统 的 规则 达成 共识 ， 系 统 规则 有 时 不 得 不 
改变 。 比 特 币 规则 改变 有 两 种 :对 应 为 软 分 义 与 硬 分 又 。 我 们 把 关于 它 
们 区 列 的 详细 讨论 放 到 第 3 章 和 第 7 章 中 。 


启动 加 密 货 币 


另 一 个 微妙 的 概念 是 “和 目 举 过 程 ”(bootstrapping) 。 比 特 币 系统 里 
a 控 矿 生态 系统 的 健康 程度 ， 以 及 
货币 的 价值 在 相互 作用 。 我 们 显然 希望 区 块 链 安 全 ， 这 样 比特 币 才能 
为 种 可 行 的 货币 。 想 要 区 块 链 安 全 ， 就 要 保证 黑客 不 能 倾 敢 共识 过 
程 。 这 反 过 来 意味 着 ， 一 个 黑客 不 能 够 制造 一 大 堆 挖 矿 节点 来 占据 50% 

以 上 的 新 区 块 生 成 。 


但 如 何 实现 这 一 点 呢 ? 前 提 条 件 是 有 一 个 健康 的 挖 人 矿 生态 系统 ， 
中 大 部 分 节点 是 减 实 的 、 遵 守 协 议 的 。 但 健康 的 挖 矿 生 态 
件 又 是 什么 呢 一 一 我 们 什么 时 候 可 以 保证 大 多 数 矿 工会 把 大 多 数 计算 能 
力 运 用 到 解 哈 希 谜 题 的 竞争 中 呢 ? 好 吧 ， 只 有 在 比特 币 价 位 高 时 他 们 才 
会 这 么 做 ， 因 为 他 们 收 到 的 奖励 是 比特 币 而 他 们 的 花费 都 是 美元 。 所 以 
币 的 价值 越 高 ， 矿 工 就 越 有 动力 这 么 做 。 


那 如 何 保 障 币 的 价值 又 高 又 稳 定 呢 ?只 有 用 户 普 裔 相信 区 块 链 的 安 

会 发 生 。 如 果 他 们 认为 网 络 随时 会 被 攻击 者 颠 履 ， 那 比特 币 作 为 

货币 将 一 文 不 值 。 所 以 你 可 以 看 到 区 块 链 的 安全 性 、 挖 矿 生态 系统 的 健 
康 程度 和 货币 的 价值 这 三 者 之 间 相 互 依赖 、 相 互 作用 的 关系 。 


因为 这 三 者 之 间 的 循环 依赖 关系 ， 其 中 一 个 的 存在 可 以 用 为 一 个 的 
存在 推测 出 来 。 在 比特 币 初创 之 时 ， 这 三 者 都 不 存在 。 除 了 中 本 联 自 
己 ， 没 有 人 在 运行 挖 矿 软件 。 比 特 币 作为 货币 没有 什么 价值 。 事 实 上 ， 
因为 没有 很 多 人 挖 矿 ， 区 块 链 也 很 不 安全 ， 任 何人 都 可 以 轻易 其 获 这 个 
过 程 。 


这 三 者 在 比特 币 的 世界 如 何 从 无 到 有 并 没有 一 个 简单 的 解释 。 媒 体 
的 关注 是 其 中 一 个 因 系 一 一 听 到 比特 币 的 人 越 多 ， 感 兴趣 挖 矿 的 人 残 越 
多 。 挖 矿 的 人 越 多 ， 人 们 融会 对 区 块 链 的 安全 越 有 信心 ， 因 为 更 多 控 矿 
活动 在 进行 ， 以 此 类 推 。 附 带 提 下 ， 每 种 其 他 虚拟 货币 想 要 成 功 也 需要 
想 办 法 通过 目 举 过 程 解决 这 个 问题 。 


519%0 攻 击 


我 们 考虑 一 下 如 果 共 识 失败 ， 并 且 存 在 一 个 在 比特 币 网 络 里 实际 掌 
握 了 绝 大 部 分 挖 矿 计算 能 力 的 51% 攻 击 者 ， 会 发 生 什么 情况 。 我 们 考虑 
多 种 可 能 的 攻击 ， 分 析 哪 些 可 能 被 这 样 的 攻击 者 实际 使 用 。 


首先 ， 攻 击 者 可 以 从 现存 的 地 址 里 偷 币 吗 ? 你 可 能 猜 到 了 ， 不 行 ， 
因为 除非 你 能 推翻 加 密 方法 ， 人 否则 从 现存 地 址 偷 币 是 不 可 能 的 。 它 不 足 
以 题 禾 共 识 过 程 。 这 样 说 还 不 是 很 清楚 。 我 们 不 妨 假 设 ，51% 攻 击 者 制 
造 了 一 个 不 正当 的 区 块 ， 里 面 有 一 笔 不 正当 交易 把 币 从 不 受 其 控制 的 地 
址 转移 到 上 自己 的 地 址 。 攻 击 者 可 以 假装 这 是 一 笔 正当 的 交易 ， 继 续 在 这 
个 区 块 上 建造 ， 甚 至 可 以 把 它 变 成 一 个 最 长 的 支 链 。 但 其 他 诚实 市 点 不 
会 简单 地 接受 这 个 存在 不 正当 交易 的 区 块 ， 它 们 还 是 会 在 网 络 中 找到 之 
前 最 后 一 个 正当 的 区 块 ， 基 于 此 继续 挖 矿 。 所 以 将 会 发 生 的 是 ， 链 上 出 
现 了 我 们 称 之 为 分 又 的 情况 。 


现在 想象 一 下 这 个 攻击 者 想 把 这 些 非法 的 币 花 掉 ， 付 给 某 个 商家 鲍 


动用 来 买 他 的 商品 或 者 服务 。 鲍 动 可 以 假定 运行 厦 自 己 的 比特 币 市 反 ， 
而 且 是 一 个 诚实 节点 。 那 鲍 劲 的 节 氮 会 因为 含有 不 正当 的 交易 而 拒绝 这 
个 非法 的 分 文 。 因 为 那里 面 的 数字 签名 不 吻合 。 所 以 饱 勃 的 节 氮 会 忽略 
这 个 最 长 的 文 链 ， 因 为 这 是 一 个 非法 的 文 链 。 而 因此 ， 这 不 足以 题 履 共 
识 。 你 需要 推翻 加 密 方 法 偷 取 比 特 币 。 所 以 我 们 认为 ， 这 个 攻击 对 5196 
攻击 者 来 说 是 不 可 能 的 。 


我 们 应 该 注意 到 这 是 一 个 想象 的 实验 。 如 果实 际 中 真 的 有 519 攻 击 
的 迹象 ， 可 能 会 发 生 的 是 开发 者 会 注意 到 并 采取 应 对 措施 。 他 们 会 升级 
比特 币 软件 ， 我 们 可 以 期 竺 系统 规则 《包括 点 对 点 网 络 ) 可 能 会 做 出 改 
变 ， 使 得 这 样 的 攻击 难以 成 功 。 但 我 们 无 法 准确 预测 。 所 以 ， 我 们 是 在 
一 个 简化 的 模型 上 讨论 51% 攻 击 ， 但 除 此 之 外 系统 规则 并 没有 改变 和 扭 
曲 。 


我 们 考虑 力 一 种 攻击 。51% 攻 击 者 可 以 压制 其 他 交易 吗 ? 比 如 攻击 
者 特别 讨厌 茶 个 用 户 卡 罗 尔 。 他 知道 卡 罗 尔 一 些 地 址 ， 想 使 属于 这 些 地 
址 的 币 都 无 法 使 用 。 这 可 能 吗 ? 由 于 攻击 者 控制 了 区 块 链 的 共识 过 程 ， 
他 可 以 轻易 地 拒绝 创造 包含 来 自 卡 罗 尔 地 址 的 交易 的 新 区 块 ， 他 还 可 以 
进一步 拒绝 在 含有 类 似 交 易 的 区 块 上 延展 。 但 他 不 能 阻止 这 个 交易 被 让 
播 到 整个 点 对 点 网 络 ， 因 为 网 络 不 依赖 于 区 块 链 或 者 共识 ， 我 们 假设 攻 
击 者 还 没完 全 掌控 网 络 。 他 不 能 阻止 这 个 交易 被 发 送 到 绝 大 部 分 节点 
上 ， 所 以 即使 他 成 功 了 ， 大 家 也 都 知道 发 生 了 攻击 。 


攻击 者 可 以 改变 区 块 奖 励 吗 ?比如 说 攻击 者 开始 假装 把 区 块 奖励 由 
25 个 币 改 成 100 个 币 ? 这 是 对 系统 规则 的 改动 ， 因 为 他 没有 控制 万 有 诚 
实 节点 上 运行 着 的 比特 币 软件 备份 ， 所 以 同样 不 可 能 。 这 和 为 什么 攻击 
者 无 法 装 入 一 笔 非法 交易 的 道理 是 一 样 的 。 其 他 节点 不 会 轻易 认可 区 块 
奖励 提高 ， 所 以 他 也 无 法 使 用 这 些 区 块 。 


最 后 ， 这 个 攻击 者 会 摧毁 大 家 对 比特 币 的 信心 吗 ? 好 吧 ， 让 我 们 想 
象 一 下 会 及 生 什 么 。 如 果 有 很 多 双重 支付 尝试 ， 诸 如 市 点 不 延展 最 长 的 


有 效 分 文 ， 以 及 发 生 其 他 攻击 ， 那 么 人 们 有 可 能 会 沉 得 比特 币 不 再 是 一 
个 他 们 可 以 信赖 的 去 中 心 化 账 短 。 人 们 会 对 货币 失去 信心 ， 我 们 可 以 预 
料 到 比特 币 汇率 会 重 挫 。 实 际 上 ， 如 果 人 们 知道 有 一 方 控 制 了 519% 的 哈 
希 算 力 (hash power) ， 即 使 这 个 人 没有 发 动 任何 攻击 ， 大 家 也 可 能 会 
对 比特 币 失 去 信心 。 所 以 ， 这 不 仅仅 是 可 能 ， 事 实 上 任何 形式 的 51% 攻 
击 都 会 摧毁 大 家 对 货币 的 信心 。 这 其 实 是 51% 攻 击 可 以 实现 的 最 主要 的 
实际 威胁 。 考 虑 到 在 攻击 比特 币 ， 实 现 519% 多 数 的 过 程 中 ， 财 政 角 上 度 的 
巨大 花费 ， 我 们 讨论 的 这 些 攻击 都 会 变 得 不 切实 际 。 


我 们 希望 至 此 你 对 比特 币 的 去 中 心 化 管理 有 了 一 个 完整 的 了 解 。 你 
也 应 该 理解 了 比特 币 里 的 号 份 如 何 工 作 、 交 易 是 如 何 被 传播 和 验证 的 、 
比特 币 里 点 对 点 网 络 的 作用 、 如 何 用 区 块 链 达成 共识 、 函 数 难题 与 挖 矿 
是 怎么 回 事 。 这 些 概念 为 理解 比特 币 的 更 多 微妙 细节 和 细微 差别 提供 了 
坚实 的 理论 基础 ， 是 一 个 良好 的 出 及 点 。 这 些 我 们 在 后 续 章 市 中 会 进 
步 看 到 。 
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第 3 章 


比特 币 的 运行 机 制 


在 这 一 草 我 们 重点 齐 析 一 下 比特 币 的 运行 机 制 。 前 两 音 里 ， 我 们 是 
在 相对 泛泛 的 层面 讨论 了 比特 币 ， 在 这 一 章 中 我 们 将 深入 细节 ， 真 正 近 
距离 地 了 解 比特 币 所 使 用 的 数据 结构 、 实 际 脚 本 以 及 语言 ， 这 种 较为 精 
准 的 介绍 会 为 本 书后 面 的 章节 建立 场景 。 这 一 章 会 有 大 量 细节 性 的 信 
晨 ， 极 上 其 挑战 。 本 章 可 以 帮助 我 们 真正 懂得 比特 币 的 实质 。 


如 第 2 章 所 述 ， 比 特 币 的 共识 机 制 设 定 了 一 个 只 允许 往 里 写 入 的 账 
每 ， 而 且 一 旦 数据 被 写 入 ， 它 将 永远 被 储存 在 那里 。 去 中 心 化 《或 者 分 
布 式 ) 协议 确保 了 账 短 中 存储 数据 的 共识 ， 而 矿工 会 执行 协议 并 确认 交 
易 ， 这 些 机 制 可 以 确保 每 一 笔 交 易 都 是 真实 发 生 的 ， 而 且 账 短 中 的 每 一 
个 比特 币 都 没有 被 使 用 过 。 这 样 ， 这 个 账 短 从 功能 上 就 形成 了 一 种 货币 
系统 。 同 时 ， 我 们 也 假设 ， 可 以 使 用 货币 奖励 矿工 ， 使 矿工 有 积极 地 完 
成 记 账 操作 的 动力 。 在 本 章 中 ， 我 们 将 详细 介绍 如 何 建立 货币 系统 、 如 
何 奖励 矿工 ， 从 而 保证 整个 流程 有 序 运 行 。 


3.1 比特 币 的 交易 


证 我 们 移 一 起 看 一 下 比特 币 的 交易 ， 比 特 币 交 易 的 过 程 其 实 束 是 不 
停 地 创造 区 块 的 过 程 ， 为 了 理解 上 的 方便 ， 我 们 先 看 一 个 简单 模式 的 账 
短 ， 在 这 个 账 短 里 ， 每 一 笔 交 易 依次 被 添加 到 账 敌 里 。 


那 我 们 如 何 使 用 这 个 账 短 来 创造 一 种 货币 呢 ? 首先 你 可 能 想到 《也 
是 许多 人 误 认 作 比 特 币 使 用 的 方式 ) : 建立 一 个 以 账户 为 核心 的 系统 ， 
可 以 创造 新 的 币 并 且 放 入 茶 人 的 账号 ， 然 后 就 可 以 转 给 其 他 人 了 。 一 笔 
交易 的 信息 就 像 这 样 :“ 把 爱丽 丝 账 户 里 17 个 币 转 给 鲍 动 "， 然 后 由 爱丽 
丝 签名 。 我 们 从 图 3.1 可 以 看 到 ， 爱 丽 丝 在 第 一 笔 交 易 里 收 到 25 个 币 ， 
然后 转 了 17 个 币 给 鲍 艺 ， 她 的 账户 里 应 该 还 有 8 个 币 。 


系统 制造 了 25 个 币 给 爱丽 丝 ， 由 矿工 确认 
爱丽 丝 转 了 17 个 币 给 鲍 势 ， 由 爱丽 丝 签名 


鲍 勃 转 了 8 个 币 给 卡 罗 尔 ， 由 鲍 勃 签名 
卡 罗 尔 转 了 5 个 币 给 爱丽 丝 ， 巾 卡 罗 尔 签名 
爱丽 丝 转 了 15 个 币 给 戴 维 ， 由 爱丽 丝 签 名 


图 3.1 基于 账户 的 账簿 


这 么 做 的 不 便 之 处 在 于 ， 任 何人 如 果 想 要 确认 一 笔 交 易 是 否 真实 ， 
就 必须 跟 踊 每 一 个 账户 的 余额 。 让 我 们 再 看 一 下 图 3.1， 当 爱丽 丝 想 要 
转 给 戴 维 15 个 币 的 时 候 她 是 否 真 的 有 15 个 币 昵 ?为 了 搞 清楚 这 个 问题 ， 
我 们 必须 回 过 头 去 看 和 爱丽 丝 有 关 的 所 有 交易 ， 并 加 总 来 确认 当时 的 余 
额 。 当 然 ， 我 们 可 以 有 一 些 更 有 效 的 办 法 ， 比 如 另外 增加 一 个 数据 字 


段 ， 用 来 更 新 每 次 交易 后 的 账户 余额 ， 但 这 也 增加 了 记 账 的 工作 量 。 


所 以 ， 比 特 币 并 没有 用 这 种 记 账 方式 ， 而 是 用 了 我 们 在 第 1 章 1.5 市 
里 提 到 的 “ 财 奴 币 ” 相 类 似 的 方法 来 记录 交易 。 


这 种 方式 束 像 财 奴 币 里 的 付 币 ， 每 个 交易 中 都 有 一 个 输入 值 和 输出 
值 。 输 入 值 可 以 看 成 是 将 被 消费 挥 的 币 〈 这 些 币 是 前 一 个 交易 创造 出 来 
的 ) ， 把 输出 看 成 是 在 本 次 交易 中 创造 出 来 的 币 。 铸 造 新 币 时 ， 只 会 创 
造 新 币 ， 而 不 会 消费 旧 币 《就 像 财 奴 币 里 的 造 币 ， 只 有 输出 ， 没 有 和 输 
入 ) 。 每 笔 交 易 都 有 一 个 独一无二 的 ID。 每 笔 交 易 中 可 能 有 多 个 输出 ， 
输出 的 索引 从 0 开始 ， 所 以 我 们 称 第 一 个 输出 为 “输出 0”。 


我 们 现在 来 看 图 3.2。 交 易 1 是 铸造 新 币 的 交易 ， 因 此 没有 和 输入， 也 
没有 签名 ;交易 1 的 输出 是 向 爱丽 丝 转 移 25 个 币 。 现 在 ， 爱 丽 丝 想 把 一 
些 币 转 给 鲍 勃 ， 她 就 创造 了 一 条 新 的 交易 ， 这 融 是 图 3.2 中 的 交易 2。 在 
交易 里 ， 她 必须 明确 指出 要 转 出 的 币 的 来 源 〈 引 用 之 前 的 某 笔 交易 ) 。 
爱丽 丝 指出 本 次 交易 的 币 来 自 交 易 1 中 的 输出 0 〈 也 是 交易 1 中 的 唯一 输 
出 )， 即 癌 爱 丽 丝 转移 25 个 币 。 交 易 中 ， 爱 丽 丝 还 要 明确 收 蒜 人 一 一 也 
就 是 输出 的 地 址 ， 在 这 个 例子 里 ， 有 两 个 输出 ， 一 个 是 转 17 个 币 给 鲍 
勃 ， 另 一 个 是 转 8 个 币 给 爱丽 丝 自己 。 当 然 ， 整 个 交易 由 爱丽 丝 签 名 ， 
这 样 ， 大 家 就 知道 这 笔 交 易 爱 丽 丝 是 确实 授权 了 的 。 

输入 : 0 
: 25.0 一 爱丽 丝 


和 人 人: 1 LOI 
: 17.0 一 鲍 勃 ，8.0 一 爱丽 丝 由 爱丽 丝 签名 


> 0d 
出 ，8.0 一 卡 罗 尔 ，9.0 一 钝 勃 由 鲍 描 签 名 


| 
出 : 6.0 一 戴 维 ，2.0 一 爱丽 丝 由 爱丽 丝 签名 


图 3.2 与 比特 币 类 似 的 基于 交易 的 账本 


地 址 转换 。 在 这 个 例子 里 ， 为 什么 爱丽 丝 要 把 币 转 给 自己 呢 ? 事实 
上 比特 币 残 像 财 奴 币 中 描述 的 币 一 样 ， 一 个 交易 中 输出 的 币 ， 要 么 在 力 
一 个 交易 中 被 完全 消费 掉 ， 要 么 就 一 个 都 不 被 消费 ， 不 存在 只 消费 部 分 
的 情况 。 爱 丽 丝 只 需 付 给 鲍 动 17 个 币 ， 但 爱丽 丝 在 上 一 交易 中 实际 获得 
了 了 25 个 币 ， 为 了 把 这 些 币 全 部 消费 挥 ， 她 必须 再 转 给 自己 8 个 币 。 这 8 个 
币 可 以 转 到 为 外 一 个 地 址 不同 于 交易 1 中 获得 25 个 币 的 地 址 ，， 但 前 
提 是 该 地 址 为 爱丽 丝 有 所有， 这 就 叫 地 址 转换 。 


有 效 验证 。 当 一 个 新 的 交易 被 加 入 总 账 ， 它 的 有 效 性 是 否 容易 被 验 
证 ? 在 这 个 例子 里 ， 我 们 要 核查 一 下 爱丽 丝 引 用 的 交易 输出 ， 确 认 她 确 
实 有 25 个 币 没 有 被 化 费 反 。 因 为 我 们 使 用 了 哈 希 指针 ， 所 以 核查 很 快 。 
为 了 确认 这 25 个 币 没有 被 花 反 ， 我 们 只 需 从 爱丽 丝 所 引用 的 交易 开始 ， 
直 核 得 到 账本 上 最 新 记录 的 交易 为 止 即 可 一 一 而 不 需要 从 账本 建立 之 
初 的 交易 开始 核 碍 。 而 且 ， 这 种 方法 也 不 需要 增加 额外 的 数据 结构 〈 当 
然 ， 我 们 将 会 看 到 ， 加 入 新 的 数据 结构 将 进一步 提高 速度 ) 。 


资金 合并 。 和 财 奴 币 一 样 ， 比 特 币 交易 可 能 有 许多 输入 与 输出 ， 资 
金 分 隔 与 合并 也 很 容易 。 假 如 鲍 动 在 两 笔 不 同 的 交易 中 分 别 收 到 17 个 币 
和 2 个 币 ， 现 在 他 想 把 这 两 笔 钱 合并 起 来 花 挥 ， 这 很 容易 ， 他 只 需 发 起 
一 个 交易 ， 交 易 里 有 两 个 输入 和 一 个 输出 ， 输 出 的 地 址 是 他 目 己 的 地 
址 ， 这 样 ， 鲍 动 残 把 两 个 交易 合 二 为 一 了 。 


共同 支付 。 同 样 地 ， 共 同文 付 也 很 容易 做 到 。 如 果 卡 罗 尔 和 鲍 勃 想 
要 共同 文 付 给 戴 维 ， 他 们 可 以 及 起 一 个 交易 ， 交 易 里 也 有 两 个 输入 和 一 
个 输出 ， 唯 一 不 同 在 于 ， 两 个 输入 所 引用 的 “上 一 笔 多 易 ” 的 输出 地 址 不 
同 ， 因 此 ， 这 笔 交 易 需 要 两 个 签名 : 卡 罗 尔 的 和 鲍 动 的 。 


交易 语法 。 比 特 币 交易 涉及 的 概念 就 是 上 面 这 些 。 我 们 再 来 看 看 比 
特 币 交 易 在 底层 是 如 何 实现 的 。 实 际 上 ， 比 特 币 在 网 络 上 传输 的 数据 结 
构 都 是 一 串 字 符 ， 图 3.3 显 示 了 一 个 真实 的 程序 ， 经 过 编译 就 会 变 成 供 


机 器 执行 的 二 进 制 代码 了 。 


"hash":"5a42590fbe0a90ee8e8747244d6c84f0db1a3a24e8f1b95b10c9e050990b8b6b"， 
"ver ws 
a wiin, Sz" 2, 
元 数据 "vout sz":1, 
"lock time":0, 
"size":404, 
in 
{ 
"prev_out":{ 
"hash":"3be4ac9728a0823cf5e2deb2e86fc0bd2aa503a91d307b42ba76117d79280260"， 
"n":0 


}, 
"scriptSig":"30440..." 


输入 此 
"prev_out":{ 
"hash":"7508e6ab259b4df0fd5147bab0c949d81473db4518f81afc5c3f52f91ff6b34e"， 
"n":0 
Eh, 
"scriptSig":"3f3a4..." 


"value":"10.12287097"， 
"scriptPubKey":"OP DUP OP_HASH160 69e02e18b5705a05dd6b28ed517716c894b3d42e 
OP_EQUALVERIFY OP_CHECKSIG" 


图 3. 3 一 个 真实 的 比特 币 交 易 程 序 段 


从 图 3.3 可 以 看 到 ， 一 个 比特 币 交 易 分 成 三 部 分 : 元 数据 、 一 系列 
的 输入 和 一 系列 的 输出 。 


@ 元 数据 。 这 里 存放 一 些 内 部 处 理 的 信息 : 包含 这 笔 交 易 的 规 
模 、 输 入 的 数量 、 输 出 的 数量 ， 还 有 此 笔 交 易 的 哈 布 值 ， 也 就 是 这 
个 交易 独一无二 的 1D。 我 们 可 以 用 哈 希 指针 指向 这 个 ID。 最 后 还 有 
一 个 “锁定 时 间 ” (lock time) ， 我 们 后 面 会 谈 到 。 


@ 输入 。 所 有 输入 排 成 一 个 序列 ， 每 个 输入 的 格式 都 是 一 样 
的 。 输 入 需要 明确 说 明之 前 一 笔 交 易 的 菜 个 输出 ， 因 此 它 包 括 之 前 


那 笔 交易 的 哈 希 值 ， 使 其 成 为 指向 那个 特定 交易 的 哈 希 指针 。 这 个 
输入 部 分 同时 包括 之 前 交易 输出 的 索引 和 一 个 签名 : 我 们 必须 有 签 
名 来 证 明 我 们 有 资格 去 支配 这 笔 比特 币 。 

图 输出 。 所 有 输出 也 排 成 一 个 序列 。 每 个 输出 的 内 容 分 成 两 部 
分 。 所 有 输出 的 金额 之 和 必须 小 于 或 等 于 输入 的 金额 之 和 。 当 输出 
的 总 金额 小 于 输入 总 金额 时 ， 输 出 的 总 金额 与 输入 的 总 金额 的 差额 
部 分 ， 就 作为 交易 费 支 付 给 为 这 笔 交易 记 账 的 矿工 。 


一 长 串 怪 怪 的 〈funny) 字符 看 上 去 像 是 接收 地 址 。 实 际 上 ， 每 个 
输出 都 要 和 一 个 特定 的 公 钥 〈 地 址 ) 对 应 ， 所 以 这 一 长 串 字符 里 面 确实 
有 一 部 分 看 上 去 是 公 钥 的 哈 希 值 ， 但 里 面 还 有 一 部 分 看 上 去 像 指令 集合 
的 东西 ， 它 其 实 是 一 个 比特 币 的 脚本 ， 下 文 展开 介绍 。 


3.2 比特 币 的 脚本 


每 个 交易 输出 不 仅 确定 了 一 个 公 钥 ， 其 实 同时 指定 了 一 个 脚本 。 那 
脚本 是 什么 ? 为 什么 我 们 要 用 一 个 脚本 ? 在 这 一 节 我 们 要 学 习 比 特 币 的 
工作 控制 语言 ， 也 叫 脚本 。 之 后 ， 我 们 就 会 全 得 为 什么 要 用 一 个 脚本 ， 
而 不 是 简单 地 分 配 一 个 公 钼 。 


最 常见 的 比特 币 交 易 ， 就 是 通过 某 人 的 签名 去 取得 他 在 前 一 笔 交 易 

中 获得 的 资金 。 这 种 情况 下 ， 我 们 希望 交易 的 输出 包含 这 样 的 信 
“ 攒 借 地 址 X 的 所 有 者 的 签名 ， 才 可 以 获得 这 笔 资金 。” 我 们 知道 地 
其 实 就 是 一 个 公 钥 的 哈 希 值 ， 所 以 仅仅 说 地 址 Xx 并 没有 告诉 我 们 公 钥 
， 也 没有 给 我 们 一 个 检查 签名 的 方法 。 所 以 ， 交 易 输 出 必须 这 样 
描述 : “凭借 哈 希 值 为 X 的 公 钥 ， 以 及 这 个 公 钥 所 有 者 的 签名 ， 才 可 以 获 
叶 这 笔 资金 。” 这 实际 上 就 是 最 常见 的 比特 币 脚 本 ， 如 图 3.4 所 示 。 

OP_DUP 

OP_HASHI160 

09e02e18... 

OP_EQUALVERIFY 

QP: GHEGKSLG 


图 3.4 P2PH 脚 本 范例 
注 : 一 个 常见 的 比特 币 输 出 脚本 范例 。 
那么 谁 执行 这 个 脚本 ? 这 一 系列 指令 是 如 何 完成 的 呢 ? 秘密 在 于 ， 
交易 的 输入 包括 了 脚本 (而 不 是 签名 〉 。 为 了 确认 一 笔 交 易 正 确 地 获取 
了 上 一 笔 交 易 所 输出 的 资金 ， 我 们 把 交易 的 输入 脚本 和 上 一 笔 交 易 的 输 
出 脚本 串联 起 来 ， 这 个 串联 脚本 必须 被 成 功 地 执行 后 才 可 以 获取 资金 。 


法 


四 


SN 


这 两 个 脚本 ， 一 个 是 输出 脚本 〈scriptPubKey) ， 男 一 个 是 输入 脚本 

CscriptSig) 。 输 出 脚本 只 是 指定 了 一 个 公 钥 《或 是 公 钥 哈 希 值 的 地 

址 ) ， 输 入 脚本 指定 了 一 个 对 应 公 钥 的 签名 。 图 3.5 吉 是 两 个 脚本 结合 
的 案例 。 


比特 币 脚本 语言 


这 个 脚本 语言 是 为 比特 币 开 发 的 。 在 比特 币 里 只 叫 作 “ 脚 本 。 它 和 
另 一 种 Forth 语 言 有 很 多 相似 的 地 方 ，Forth 是 一 种 简单 的 堆栈 式 编 程 语 
言 (stack-based programming language) ， 但 你 并 不 需要 先 学 习 Forth 语 
言 才 会 使 用 比特 币 的 脚本 语言 。 比 特 币 的 脚本 语言 设计 原则 就 是 简明 扼 
要 ， 并 内 生地 支持 加 和 密 操 作 。 比 如 ， 脚 本 里 面 有 目的 性 的 指令 用 来 计算 
哈 希 值 和 检验 签名 。 


这 种 脚本 语言 是 堆栈 式 的 ， 意 味 着 每 个 指令 只 被 执行 一 次 ， 是 线性 
的 ， 无 法 循环 执行 。 所 以 指令 的 数目 给 了 我 们 一 个 执行 时 间 与 内 存 使 用 
的 上 限 。 这 个 语言 不 是 图 灵 完 备 的 ， 意 味 着 不 能 随意 运行 强大 函数 功 
能 。 三 但 这 是 有 意 设 计 的 ， 因 为 矿工 需要 去 执行 这 些 网 络 上 任意 交易 提 
交 者 所 递交 的 脚本 ， 设 计 者 并 不 希望 让 他 们 提交 可 能 无 限 循环 的 脚本 。 
<sig> 
<pubKey> 


GP DUP 
OP_HASHI160 
<pubKeyHash?> 
OP_EQUALVERIFY 
QP .HECKSIs 


图 3.5 结合 输入 脚本 和 输出 脚本 范例 
注 : 为 了 确认 当前 交易 是 否 正确 地 获取 了 前 一 笔 交 易 输出 的 资金 ， 我 们 把 两 个 脚本 
链接 起 来 ， 把 上 一 笔 交 易 的 输出 脚本 〈 图 中 虚线 下 方 ) 添加 到 当前 交易 的 输入 脚本 
(虚线 上 方 ) 之 后 ， 形 成 一 个 新 的 脚本 。 请 注意 pubKeyHash?> 里 面 有 一 个 “? ”， 
用 作 标 识 我 们 后 面 会 来 确认 它 是 否 与 当前 交易 提供 的 公 角 的 哈 硕 值 一 致 。 


执行 比特 币 脚本 只 能 产生 两 个 结果 : 要 么 被 成 功 执 行 ， 这 种 情况 
下 ， 交 易 有 效 ; 要 么 脚本 执行 出 现 错误 ， 这 种 情况 下 ， 整 个 交易 无 效 ， 
拒绝 记 入 区 块 链 。 


这 个 脚本 语言 十 分 简单 。 只 有 256 个 指令 ， 每 个 只 用 一 个 字 节 。256 
个 指令 中 ， 有 15 个 目前 不 可 用 ， 有 75 个 被 保留 还 没有 具体 定义 〈 以 后 或 
许可 以 被 用 来 扩展 ) ， 剩 下 的 才 是 可 用 的 。 


许多 在 其 他 语言 里 常见 的 基本 指令 这 里 面 都 有 。 例 如 ， 基 本 的 算 
数 、 逻 辑 语句 〈 如 If-then) 、 抛 出 错误 、 过 早 返 回 等 。 而 且 ， 还 有 密码 
指令 ， 比 如 哈 希 函数 语句 、 签 名 验证 语句 ， 还 有 一 个 重要 的 特殊 指令 
是 “CHECKMULTISIG” 一 一 可 以 查证 多 个 签名 。 表 3.1 列 举 了 一 些 比 特 
币 工作 控制 语言 里 的 常用 语句 。 


CHECKMULTISIG 指 令 要 求 指定 n 个 公 钥 和 一 个 参数 {〈 作 为 一 个 临 
界 值 ) 。 这 个 指令 正确 执行 的 条 件 是 : 在 n 个 公 钥 中 ， 至 少 可 以 选 出 t 个 
现时 有 效 的 签名 。 我 们 在 本 章 3.3 节 会 示范 这 个 指令 的 用 法 ， 但 现在 我 
们 需要 认识 到 这 个 原生 指令 是 非常 强大 的 ， 它 以 一 种 极其 精练 的 方式 协 
助 我 们 查验 交易 中 的 多 方 签名 。 


不 过 ， 目 前 比特 币 多 方 签 名 功能 实现 过 程 中 有 一 个 缺陷 ， 
CHECKMULTISIG 指 令 在 执行 的 时 候 会 返回 一 个 没 用 的 值 ， 而 且 系 统 还 
必须 要 安排 一 个 堆栈 中 的 变量 去 储存 它 ， 然 后 再 忽略 掉 。 由 于 修复 这 个 
缺陷 成 本 很 高 ， 两 害 相 权 取 其 轻 ， 这 个 缺陷 就 一 直 没 被 修复 ， 我 们 在 第 
3 章 3.6 节 会 再 做 讨论 。 但 目前 ， 这 个 程序 缺陷 也 算是 比特 币 的 一 个 特 
性 。 


表 3.1 一 些 比特 币 脚本 工作 语言 中 的 指令 及 其 功能 


指令 名 称 功能 


OP_DUP 复制 堆栈 顶端 数据 
计算 哈 希 函数 两 次 : 第 一 次 用 SHA -256, 第 二 次 用 
Op_HASHI60 计算 哈 希 函数 两 次 : 第 一 次 用 第 二 次 用 
RIPEMD - 160 


如 果 输 入 是 相同 的 ， 返回 真 
如 果 输 入 是 不 同 的 ， 返 回 假 ， 整 个 交易 作废 


OP_CHECKSIC 检查 输入 的 签名 是 否 有 效 


OP_ EQUALVERIFY 


检查 在 交易 中 个 公 钥 (地址 ) 对 应 的 t 个 签名 是 否 


OP_ CHECKMULTISIG 时 
有 效 


执行 一 个 脚本 


在 堆栈 语言 里 执行 一 个 脚本 ， 我 们 只 需要 一 个 堆栈 来 垒 积 数据 ， 不 
再 要 分 配 任何 内 存 与 变量 。 因 此 ， 堆 栈 语言 中 计算 相当 容易 。 总 共有 两 
类 指令 : 数据 指令 和 工作 码 指令 。 数 据 指令 的 作用 是 把 数据 推 到 堆栈 的 
最 上 面 ; 工作 码 指令 则 通常 是 用 堆栈 项 部 的 数据 作为 输入 值 ， 用 来 计算 
一 个 函数 。 


我 们 现在 来 一 起 看 一 下 ， 图 3.5 这 段 脚 本 是 怎么 执行 的 。 图 3.6 给 我 
们 展示 了 每 一 条 指令 执行 后 的 堆栈 状态 。 脚 本 中 的 前 两 条 指令 属于 数据 
指令 ， 分 别 是 输入 脚本 (包含 在 交易 的 输入 项 ) 中 的 签名 和 用 来 验证 签 
名 的 公 钥 。 我 们 前 面 提 到 过 ， 一 看 到 数据 指令 ， 系 统 就 把 它 堆 到 堆栈 最 
上 面 。 后面 儿 个 指令 是 输出 脚本 (包含 在 上 一 交易 的 输出 项 中 )〉 里 的 指 


令 。 


首先 ， 我 们 复制 指令 OP_DUP， 这 一 步 仅仅 是 将 堆栈 最 上 层 的 公 针 
复制 ， 并 置 于 堆栈 最 上 层 ; 下 一 个 指令 是 OP_HASH160， 访 指令 取得 堆 
栈 最 上 层 的 数据 ， 并 计算 其 哈 希 值 ， 然 后 将 结果 再 堆 到 堆栈 最 上 层 。 当 


指令 执行 完成 后 ， 我 们 将 堆栈 最 上 层 的 公 钥 普 换 成 了 公 钥 的 哈 希 值 。 


Cese Lee | ee | ee | [ee]| Deel 
<sig> <pubKey> OP_DUP OP_HASH160 <pubKeyHash?> <OP EQUALVERIFY> OP_CHECKSIG 
图 3.6 比特 币 脚 本 的 执行 堆栈 状态 图 
注 : 图 中 底部 列 出 了 相对 应 的 指令 : 尖 括 号 里 的 是 数据 指令 ， 以 0P 开 头 的 是 工作 码 
间 令 ， 指 令 上 方 对 应 的 是 指令 执行 之 后 的 堆栈 状态 。 
接 下 来 ， 我 们 还 要 在 堆栈 顶层 再 推送 一 些 数据 : 此 笔 交 易 发 送 者 指 
定 的 公 钥 的 哈 希 值 ， 以 及 对 应 的 私 钥 ， 这 样 才 可 完成 签名 ， 取 得 资金 。 
此 时 ， 堆 栈 顶 部 有 两 个 数值 ， 一 个 是 发 送 者 指定 的 公 钥 的 哈 希 值 ， 男 一 
个 是 接收 者 想 要 取得 资金 时 提交 的 公 角 的 哈 希 值 。 


这 个 时 候 ， 我 们 就 要 执行 EQUALVERIFY 命 令 了 ， 这 个 命令 是 用 来 
检查 堆栈 顶部 两 个 数值 是 否 相 等 的 。 如 果 不 相 等 ， 就 会 抛 出 一 个 失败 信 
号 ， 并 且 停 止 执行 脚本 。 不 过 现在 我 们 假设 其 相等 ， 也 就 代表 着 接收 者 
使 用 的 是 正确 的 公 钥 。 这 条 指令 会 移 除 堆栈 顶部 的 两 条 数据 ， 这 时 ， 挫 
栈 还 剩 下 两 个 数据 : 公 钥 以 及 签名 。 


我 们 已 经 证 实 接收 者 使 用 的 公 钥 确实 就 是 交易 里 指定 的 公 钥 ， 但 现 
在 我 们 必须 证 实 这 个 签名 是 真 的 。 这 时 ， 使 用 OP_CHECKSIG 指 令 即 
可 。 这 里 我 们 可 以 看 出 比特 币 的 脚本 语言 虽然 简单 ， 但 很 强大 。 它 只 
用 “OP_CHECKSIG” 诺 能 实现 一 个 很 复杂 的 事情 : 移 除 堆栈 里 两 个 数 
值 ， 然 后 用 公 钼 来 证 实 整个 交易 的 签名 是 真 的 。 


但 这 里 的 签名 究竟 是 对 什么 的 签名 ? 签名 函数 的 输入 是 什么 ?实际 
上 ， 在 比特 币 中 ， 我 们 只 可 以 对 一 个 事情 进行 签名 一 一 就 是 整个 交易 。 
所 以 ，CHECKSIG 指 令 从 堆栈 中 取出 两 个 数据 ( 公 钥 以 及 签名 ) ， 并 验 
证 签名 对 于 整个 交易 《使 用 对 应 公 钥 发 起 的 交易 ) 来 说 是 有 效 的 。 现 在 
我 们 完成 了 所 有 的 指令 ， 堆 栈 里 面 什么 也 不 剩 。 假 设 没 有 碰 到 任何 差错 


的 话 ， 这 个 脚本 的 输出 就 是 一 个 “ 真 ” 表 示 这 个 交易 是 正当 有 效 的 。 


实际 情况 


理论 上 来 讲 ， 通 过 脚本 ， 我 们 可 以 随意 地 为 比特 币 文 付 设 定 条 件 。 
当然 ， 从 2015 年 的 情况 看 ， 这 些 特性 也 并 不 太 第 用 到 。 如 果 我 们 回顾 比 
特 币 历 史 中 曾 经 实际 用 到 的 脚本 ， 绝 大 多 数 的 比特 币 使 用 的 脚本 都 非常 
基础 ， 像 前 文 的 例子 一 样 : 指定 一 个 公 钥 ， 然 后 通过 验证 签名 来 使 用 这 
di 


当然 ， 实 际 中 也 会 使 用 一 些 其 他 指令 ， 比 如 MULTISIG， 还 有 一 种 
支付 给 脚本 的 哈 希 值 (Pay-to-scriptrhash， 简 称 P2SH， 我 们 很 快 会 谈 到 ) 
等 ， 但 除 此 之 外 ， 平 时 常用 的 指令 真 不 多 ， 因 为 每 个 市 点 都 有 一 份 标准 
脚本 的 白 名 单 ， 它 们 会 拒绝 接受 不 在 名 单 上 的 脚本 。 这 倒 不 是 说 无 法 运 
行 其 他 脚本 ， 只 是 使 用 起 来 比较 麻烦 。 事 实 上 这 样 的 安排 也 很 巧妙 ， 我 
们 会 在 谈论 比特 币 点 对 点 网 络 的 时 候 再 进行 描述 。 


销毁 证 明 


销毁 证 明 (proof of burn) 脚本 ， 用 于 销毁 比特 币 〈 即 防止 资金 被 
财 回 ) 。 如 果 交 易 代 人 码 的 运行 结果 是 将 比特 币 转 到 “销毁 证 明 ” 脚 本 ， 那 
么 这 笔 比 特 币 将 被 销毁 。 实 际 应 用 中 主要 是 用 来 引导 客户 使 用 其 他 数字 
货币 系统 ， 即 将 比特 币 销毁 ， 以 便 获 得 另 一 个 数字 货币 系统 发 行 的 新 
币 。 我 们 会 在 第 10 章 展开 和 扳 述 。 销 虹 证 明 肢 本 使 用 起 来 非常 简便 : 使 用 
OP_RETURN 脚 本 来 抛 出 错误 ;不论 之 前 指令 的 运行 结果 是 什么 ， 
OP_RETURN 指 令 总 会 被 执行 ， 并 相应 抛 出 一 个 错误 ， 脚 本 返回 一 
个 “错误 ”(false) 值 。 


由 于 OP_RETURN 以 抛 出 错误 的 形式 结束 脚本 ， 其 后 的 所 有 指令 都 
不 会 执行 。 利 用 这 个 特性 ， 我 们 可 以 往 脚 本 中 植 入 任意 信息 ， 这 些 信息 
也 将 被 存储 在 区 块 链 中 。 假 如 你 想 通过 署名 或 者 盖 时 间 惟 的 方式 来 证 明 
你 在 某 个 时 候 知 道 某 件 事情 ， 就 可 以 发 起 一 笔 极 小 额 的 比特 币 交 易 ， 在 
脚本 中 加 入 上 述 信息 ， 并 使 用 销毁 证 明 脚 本 将 币 销毁 ， 这 样 就 可 以 将 信 
息 永久 地 存储 在 区 块 链 上 。 


文 付 给 脚本 的 哈 希 值 


如 前 文 所 述 ， 比 特 币 的 工作 机 制 要 求 币 的 发 送 者 必须 在 交易 时 明确 
指定 脚本 。 这 种 机 制 有 时 候 不 太 适 用 : 假如 你 在 网 店 看 中 了 一 件 商品 并 
打算 下 单 ， 你 会 问 卖 家 “请 把 付款 地 址 告诉 我 ， 我 可 以 付款 了 ”， 但 如 果 
卖家 使 用 了 多 重 签名 地 址 (MULTISIG) ， 那 他 会 说 * 嘿 ， 我 们 用 了 多 
重 签 名 地 址 ， 你 需要 支付 给 一 个 脚本 地 址 ， 而 不 是 一 个 简单 的 地 址 ”， 
但 你 会 说 “我 不 知道 怎么 弄 ， 这 太 复 杂 了 ， 我 只 会 文 付 给 简单 的 地 址 ”。 


比特 币 用 了 一 种 很 聪明 的 办 法 来 解决 这 个 问题 ， 不 仅 可 以 实现 多 重 
签名 地 址 文 付 ， 而 且 还 可 以 实现 复杂 的 资金 监管 规则 。 比 特 币 使 用 的 办 
法 是 : 收 蒜 方 告诉 付款 方 “ 请 把 比特 币 支 付 给 某 个 脚本 地 址 ， 脚 本 的 哈 
希 值 是 xx， 在 取 和 天 的 时 候 ， 我 会 提供 上 述 哈 希 值 对 应 的 脚本 ， 同 时 ， 提 
供 数据 通过 脚本 的 验证 >， 而 不 是 “请 把 比特 币 支 付 给 某 个 公 钥 ， 公 和 钼 的 
哈 希 值 是 xx”。 付 款 方 通过 P2SH 即 可 实现 上 述 交 易 。 


需要 说 明 的 是 ，P2SH 脚 本 只 是 对 堆栈 最 顶层 的 数据 进行 哈 希 运 
算 ， 核 验 运算 络 条 是 否 与 给 定 的 哈 希 值 一 致 ， 核 验 通过 后 ， 再 执行 一 步 
特殊 的 核验 : 将 堆栈 最 顶层 的 数据 重新 解读 为 一 系列 指令 ， 然 后 将 其 作 
为 脚本 运行 一 次 ， 此 时 ， 扒 栈 中 的 其 他 数据 作为 脚本 的 输入 值 。 


要 做 到 P2SH 还 是 有 点 复杂 的 ， 因 为 P2SH 不 是 比特 币 的 原始 设计 ， 


是 后 来 加 上 去 的 。 它 解决 了 两 个 重要 的 问题 ， 让 付款 方 的 支付 工作 简单 
化 ， 收 球 方 只 震 告 诉 付 球 方 一 个 哈 布 值 即 可 。 在 我 们 上 面 的 例子 中 ， 你 
不 再 需要 去 关心 商家 到 底 用 哪 种 地 址 ， 是 否 用 了 多 重 签 名 ， 因 为 这 只 是 
商家 在 文 取 这 笔 球 项 时 需要 考虑 的 事情 。 


P2SH 还 实现 了 效率 上 的 提升 : 矿工 的 工作 是 追踪 那些 还 没有 被 消 
费 掉 的 输出 脚本 。 采 用 P2SH 的 输出 脚本 会 变 得 很 小 它们 只 不 过 是 
个 哈 希 值 而 已 。 所 有 的 复杂 性 都 被 放 在 输入 脚本 中 了 。 


1. 图 灵 是 第 二 次 世界 大 战 时 英国 数学 家 ， 密 码 学 家 。 他 破译 了 纳粹 的 密码 机 “ 文 ”， 为 盟 
军 取得 第 二 次 世界 大 战胜 利 做 出 重大 贡献， 美国 好 汪 坞 以 此 题材 折 了 一 部 电影 《模仿 游 
戏 》。 图 灵 完 备 的 意思 是 语言 有 能 力 随意 地 执行 强大 的 函数 。 一 一 译 者 注 


3.3 比特 币 脚本 的 应 用 


现在 我 们 已 经 明白 了 比特 币 脚本 的 工作 机 制 ， 接 下 来 我 们 看 一 下 比 
特 币 脚本 语言 的 一 些 强大 应 用 。 你 立刻 就 能 明白 ， 比 特 币 将 指定 公 钥 变 
成 复杂 地 指定 脚本 ， 是 有 实际 意义 的 。 


第 三 方 文 付 交 易 


比如 ， 爱 丽 丝 用 比特 币 向 鲍 劲 买 东西 ， 爱 丽 丝 想 贷 到 付 蒜 ， 而 鲍 动 
想见 球 发 货 。 该 如 何 处 理 ? 一 个 好 的 办 法 是 使 用 第 三 方 支付 交易 


(escrow transaction) 。 


第 三 方 支付 交易 可 以 用 “MULTISIG”( 多 重 签 名 ) 来 轻易 实现 。 爱 
丽 丝 并 不 直接 付 亚 给 鲍 勃 ， 而 是 发 起 一 个 多 重 签名 的 交易 ， 并 规定 : 三 
个 人 中 有 两 人 签名 之 后 ， 资 金 才 能 被 文 取 。 这 三 个 人 是 爱丽 丝 、 鲍 勃 与 
第 三 方 仲裁 员 朱 迪 〈Judy) 。 朱 过 负责 调解 可 能 发 生 的 纠纷 。 因 此 ， 受 
丽 丝 发 起 了 一 个 2/3 的 多 重 签名 交易 来 付 蒜 ， 这 个 交易 规定 三 个 人 中 有 
两 人 签名 之 后 ， 资 金 才 能 被 支取 。 这 个 交易 被 纳入 区 块 链 后 ， 资 金 被 第 
三 方 监管 ， 这 三 个 人 中 的 任意 两 个 人 可 以 决定 资金 的 去 向。 现在 ， 鲍 亏 
觉得 可 以 给 爱丽 丝 发 人 了 ， 通 常情 况 下 ， 如 果 爱 丽 丝 和 鲍 勃 都 是 有 诚信 
的 ， 鲍 勃 会 按照 爱丽 丝 要 求 有 发 货 ， 爱 丽 丝 收 货 之 后 和 鲍 勃 共同 签名 ， 把 
资金 转 给 鲍 勃 。 由 于 三 个 人 中 有 两 人 签名 即 可 完成 文 付 ， 此 时 ， 由 于 没 
有 任何 争议 ， 朱 迪 根 本 不 需要 参与 。 和 爱丽 丝 直接 付款 给 鲍 勃 相 比 ， 第 
三 方 支付 交易 并 不 会 更 复杂 ， 只 需 在 区 块 链 里 增加 一 笔 交 易 即 可 。 


但 如 果 鲍 劲 其 实 并 未 发 货 ， 或 者 货物 在 路 上 被 弄 和 对 了 ， 双 或 者 鲍 动 


发 的 货物 并 不 是 爱丽 丝 想 要 的 ， 这 时 会 出 现 什么 情况 ?爱丽 丝 觉 得 被 骗 
了 ， 所 以 不 打算 付款 给 鲍 孝 ， 而 是 想 把 比特 币 从 监管 账户 要 回来 。 这 种 
情况 下 ， 爱 丽 丝 不 会 签名 真正 完成 付 丈 ， 而 鲍 动 肯定 也 不 会 承认 问题 而 
主动 放弃 收 藉 ， 这 时 ， 就 需要 朱 过 判定 资金 到 抵 该 转 给 谁 。 如 果 朱 迪 认 
为 鲍 动 欺骗 爱丽 经 ， 她 就 会 跟 爱 丽 丝 一 起 签名 ， 把 比特 币 退 还 给 爱丽 
丝 ， 当 然 ， 如 果 她 认为 爱丽 丝 应 该 付 蒜 ， 那 她 束 会 和 鲍 劲 一 起 签名 ， 完 
成 资金 的 实际 文 付 ， 所 以 ， 到 请 该 完成 支付 或 是 撤销 支付 ， 由 朱 迪 决 
定 。 当 然 ， 这 种 情况 也 只 有 在 发 生 纠纷 时 才 出 现 。 


绿色 地 址 


另外 一 个 很 酷 的 应 用 叫 作 绿 色 地 址 〈green addresses) 。 假 如 爱丽 
丝 要 转账 给 鲍 勃 ， 而 鲍 勃 不 在 线 〈 或 者 鲍 勃 在 线 但 没有 时 间 ) ， 所 以 他 
无 法 通过 查看 区 块 链 的 更 新 来 确认 转账 是 否 完成 。 一 般 来 说 ， 一 个 交易 
需要 获得 6 次 确认 ， 我 们 才能 确信 它 已 经 确实 被 加 到 区 块 链 中 ， 但 这 需 
要 大 约 一 个 小 时 。 但 是 ， 想 象 一 下 ， 如 果 爱 丽 丝 只 是 在 鲍 勃 的 店 里 买 一 
个 热狗 ， 这 么 长 时 间 才 确认 交易 ， 显 然 是 不 可 接受 的 ， 或 者 ， 如 果 鲍 勃 
由 于 某 些 原因 无 法 接 入 互联 网 ， 那 他 就 一 直 无 法 确认 交易 。 


为 了 解决 这 个 问题 ， 比 特 币 采 用 了 第 三 方 银 行 的 做 法 ， 实 际 
上 ,， “银行” 可 能 是 一 个 交易 所 ， 或 者 是 其 他 的 金融 媒介 。 如 果 爱 丽 丝 要 
转账 给 鲍 动 ， 爱 丽 丝 会 和 她 的 银行 联系 “我 要 付 给 鲍 动 这 些 币 ， 你 能 
办 理 吗 ? ”银行 会 回答 :“ 好 的 。 我 会 从 你 的 账号 扣 钱 ， 然 后 从 我 的 绿色 
地 址 转账 给 鲍 动 。” 这 样 ， 收 球 人 就 不 需要 实时 僵 看 区 块 链 来 确认 交 
易 。 


需要 注意 的 是 ， 丈 项 并 不 是 由 银行 直接 文 付 给 鲍 动 ， 实 际 上 ， 部 分 
球 项 ， 可 能 会 通过 其 他 地 址 回 到 银行 手中 。 但 是 ， 由 于 比特 币 从 银行 控 
制 的 某 个 账户 一 一 我 们 在 此 所 称 的 “绿色 账户 ”直接 转 给 鲍 勃 ， 而 且 ， 银 


已 村 


行 保证 它 不 会 双重 文 持 这 个 比特 币 ， 如 果 鲍 动 也 相信 这 一 点 ， 当 他 看 到 
银行 签名 的 交易 时 ， 就 可 以 确认 自己 迟早 会 收 到 这 些 比特 币 一 一 只 要 区 
块 链 确认 这 笔 交 易 。 


请 注意 ， 这 不 是 比特 币 技术 系统 的 保证 ， 而 是 现实 世界 中 银行 的 保 
证 ， 银 行为 了 保护 它 的 声誉 ， 不 会 双重 支持 比特 币 。 银 行 可 以 向 客户 证 
明 ,“ 我 一 直 使 用 这 个 账户 来 支付 ， 从 始 至 终 也 没有 发 生 过 双重 支付 ， 
我 以 前 没有 这 么 做 ， 以 后 也 不 会 这 么 做 。” 如 果 鲍 动 信任 银行 不 会 进行 
双重 文 付 的 承 话 ， 他 就 无 须 信 任 爱 丽 丝 一 一 他 对 爱丽 丝 本 来 殊 了 解 不 
多 。 


当然 ， 如 果 银 行 出 现 了 双重 文 付 事 件 ， 它 束 会 自 毁 长 城 ， 人 们 不 会 
再 信任 它 。 实 际 上 ， 有 两 个 提供 绿色 地 址 的 机 构 [Instawallet 和 门头沟 
公司 (Mt.Gox 的 上 昵称， 位 于 日 本 东京 ， 是 全 球 最 大 的 比特 币 交 易 疝 )] 
就 是 由 于 失信 而 倒闭 的 。 目 前 ， 绿 色 地 址 使 用 得 越 来 越 少 : 最 初 ， 人 们 
认为 绿色 地 址 可 以 实现 快速 支付 ， 而 且 不 需要 通过 查看 区 块 链 来 确认 交 
易 结果 ; 但 是 现在 ， 人 们 认为 ， 对 “银行 ?过 分 信任 是 有 风险 的 。 


高 效 小 额 支 付 (efficient micro-payments ) 


我 们 再 举 一 个 比特 币 脚本 应 用 的 例子 。 假 设 爱丽 丝 是 鲍 动 的 客户 ， 
需要 持续 疝 鲍 动 文 付 小 额 费 用 ， 例 如 ， 鲍 劲 是 爱丽 丝 的 手机 流量 提供 
商 ， 根 据 爱 丽 丝 每 分 钟 使 用 的 流量 计 费 。 但 是 ， 每 分 钟 文 付 一 次 是 不 现 
实 的 : 即使 技术 上 做 得 到 ， 交 易手 续费 也 让 人 吃不消 。 


我 们 希望 可 以 把 每 分 钟 的 费用 累积 起 来 ， 最 后 一 次 性 文 付 。 为 了 实 
现 这 种 想法 ， 爱 丽 丝 先 发 起 一 个 MULTISIG 交 易 ， 把 可 能 花费 的 最 大 金 
额 转 到 MULTISIG 地 址 ， 但 这 个 交易 需要 爱丽 丝 与 饮 气 两 个 人 的 签名 才 
能 生效 。 爱 丽 丝 在 使 用 流量 的 时 候 ， 每 隔 一 分 钟 就 签名 一 次 ， 回 鲍 勃 文 


付 这 分 钟 所 产生 的 流量 费用 ， 然 后 把 剩余 的 钱 转 给 目 己 ， 每 分 钟 重复 一 
次 ， 直 到 挂机 为 止 。 请 注意 ， 这 些 交 易 只 有 爱丽 丝 的 签名 ， 还 没有 鲍 动 
的 签名 ， 因 此 ， 交 易 还 没 被 放 进 区 块 链 里 。 爱 丽 丝 挂 机 之 后 ， 会 告诉 鲍 
动 “ 我 用 好 了 ， 你 可 以 切断 我 的 服务 了 ”， 此 时 ， 爱 丽 丝 将 不 再 文 付费 
用 ， 鲍 动 也 将 切断 服务 ， 然 后 在 爱丽 丝 发 送 的 最 后 一 个 交易 里 签名 ， 把 
它 放 入 区 块 链 里 。 


随 看 每 个 交易 付 给 鲍 动 的 币 越 来 越 多 ， 爱 丽 丝 的 币 丈 会 越 来 越 少 。 
最 后 一 个 交易 会 一 次 性 癌 鲍 劲 文 付 所 有 的 流量 费 ， 然 后 把 剩余 的 币 还 给 
爱丽 丝 。 整 个 过 程 中 ， 爱 丽 丝 单独 签名 的 交易 不 会 进入 区 块 链 〈 上 面 没 
有 鲍 劲 的 签名 ) ， 最 后 它们 都 会 被 丢 奔 掉 。 


从 技术 上 讲 ， 所 有 这 些 交 易 都 是 双重 支付 。 在 介绍 绿色 地 址 时 ， 我 
们 特别 提 到 防止 双重 文 付 的 重要 性 ， 但 在 本 例 中 ， 我 们 却 主动 创造 了 大 
量 的 双重 支付 。 实 际 上 ， 如 果 双 方才 是 正常 运作 的 话 ， 鲍 动 只 会 在 最 后 
一 个 交易 上 签名 ， 所 以 我 们 在 区 块 链 上 看 不 到 中 间 产 生 的 那些 双重 支付 


交易 。 


还 有 一 个 微妙 的 细节 : 如 果 鲍 勃 没有 在 最 后 一 个 交易 上 签名 呢 ? 他 
可 能 会 说 ，“ 就 让 那些 币 待 在 第 三 方 托管 地 址 里 吧 。” 这 样 一 来 ， 爱 丽 丝 
就 会 失去 她 一 开始 转 到 MULTISIG 地 址 的 所 有 比特 币 。 但 我 们 有 一 个 聪 
明 的 办 法 来 解决 这 个 问题 ， 那 就 是 我 们 前 面 看 到 的 一 个 代码 一 一 锁定 时 
间 。 


锁定 时 间 


为 了 避免 上 面 说 的 这 个 问题 ， 在 小 额 支付 协议 开始 之 前 ， 爱 丽 丝 与 
鲍 勃 要 签订 一 个 交易 ， 约 定向 爱丽 丝 退还 所 有 的 比特 币 ， 但 是 这 个 “ 退 
球 ” 行 为 被 上 了 锁 ， 直 到 锁定 时 间 到 了 为 止 。 爱 丽 丝 发 起 MULTISIG 交 & 


易 把 比特 币 转 入 第 三 方 托管 之 后 ， 在 向 网 络 宣布 这 笔 交 易 之 前 ， 她 会 从 
鲍 劲 那里 要 求 这 个 退 蒜 交易 。 这 样 ， 如 朵 过 了 t 时 间 鲍 动 还 没有 在 最 后 
一 个 交易 上 签名 的 话 ， 她 可 以 通过 这 个 退 蒜 交易 收回 所 有 的 比特 币 。 


退 款 交易 被 锁定 t 时 间 是 什么 意思 呢 ? 还 记得 我 们 在 第 3 章 3.2 节 提 到 
元 数据 的 时 候 ， 有 一 个 参数 是 "lock_time”， 当 时 我 们 还 没有 解释 。 在 此 
参数 后 面 填 上 非 零 数 值 b 这 个 值 告诉 矿工 在 记 账 的 时 候 ， 要 等 竺 时 间 之 
后 才能 把 这 笔 交 易 记 入 区 块 链 。 这 个 交易 在 放 入 区 块 后 ， 经 过 确定 的 区 
块 数 或 者 时 间 才 生效 。 通 过 这 个 方式 ， 人 们 可 以 发 起 一 笔 未 来 交易 ， 当 
然 ， 只 有 资金 在 未 来 时 间 点 之 前 未 被 花费 掉 ， 这 笔 未 来 交易 才 会 被 执 
行 。 这 在 小 额 支付 的 例子 里 非常 有 效 ， 它 是 爱丽 丝 的 定心丸 ， 能 够 确保 
在 鲍 勃 最 后 没有 签字 的 情况 下 她 能 拿 回 自己 的 比特 币 。 


通过 上 面 的 例子 ， 我 们 展示 了 比特 币 脚本 可 以 轻易 实现 很 多 功能 。 
我 们 虽然 只 讨论 了 三 个 例子 ， 但 其 实 人 们 研究 过 许多 其 他 的 功能 。 比 如 
多 人 彩票 系统 ， 这 个 系统 涉及 一 些 十 分 复杂 的 多 步 操作 协议 ， 以 及 不 同 
的 锁定 时 间 和 第 三 方 托管 账户 ， 来 防止 玩家 作弊 。 还 可 以 通过 脚本 语言 
实现 多 人 混 币 ， 使 得 比特 币 更 难 被 追踪 。 我 们 会 在 第 6 章 展 开 讨 论 。 


所 谓 智 能 合约 〈smart contracts) ， 束 是 那些 不 同 于 需要 通过 法 律 或 
者 仲裁 机 构 来 保护 执行 的 普通 合约 ， 智 能 合约 是 比特 币 系统 里 可 以 用 技 
术 手 段 来 强制 执行 的 合约 ， 我 们 已 经 看 到 ， 比 特 币 有 非常 好 的 特性 让 我 
们 可 以 用 脚本 、 矿 工 和 交易 验证 一 一 而 不 是 通过 中 心 化 权威 机 构 一 一 来 
实现 第 三 方 托管 协议 或 是 小 额 文 付 。 


智能 合约 的 研究 目前 已 经 非常 深入 ， 能 够 实现 非常 多 很 复杂 的 功 
能 ， 但 比特 币 脚 本 语言 的 设计 也 有 很 多 缺 隐 ， 还 是 有 很 多 现实 需要 的 智 


能 合约 无 法 用 比特 币 的 工作 控制 语言 来 实现 = 。 不 过 这 里 我 们 就 不 一 一 
细 谈 了 。 


1. 但 已 经 有 很 多 有 意义 的 探索 ， 比 如 以 太 坊 等 实现 了 图 灵 完 备 的 智能 合约 。 译 者 
注 


3.4 比特 币 的 区 块 


现在 ， 我 们 已 经 了 解 了 单个 交易 是 如 何 创建 的 ， 但 是 在 第 2 章 里 提 
到 ， 所 有 交易 都 是 被 打包 放 入 区 块 的 ， 为 什么 要 这 么 做 呢 ? 其 实 这 是 为 
了 性 能 优化 ， 如 果 每 一 个 交易 都 要 矿工 单独 去 达成 共识 ， 那 整个 系统 的 
交易 处 理 速度 将 会 变 得 非常 慢 。 而 如 果 我 们 把 大 量 交 易 组 织 起 来 放 入 
个 区 块 ， 得 到 的 哈 希 链 就 更 短 ， 大 大 提高 了 验证 区 块 链 数据 结构 的 效 
率 。 


区 块 链 ( 块 链 ) 非常 聪明 地 把 两 个 基于 哈 希 值 的 数据 结构 结合 起 
来 : 第 一 个 数据 结构 是 区 块 的 哈 希 链 ， 每 一 个 区 块 都 有 一 个 区 块头 部 ， 
里 面 有 一 个 哈 希 指针 指 癌 上 一 个 区 其 。 第 二 个 数据 结构 是 一 个 树 状 数据 
结构 ， 也 残 是 以 树 状 结构 把 区 块 内 所 有 交易 的 哈 布 值 进行 排列 存储 。 也 
叫 梅 元 尔 树 《〈 请 参考 第 1 音 ) ， 它 以 一 种 非常 蜗 效 的 形式 把 所 有 交易 组 
织 起 来 。 为 了 证 明 茶 个 交易 在 茶 个 区 块 内 ， 可 以 通过 树 内 路 径 来 进行 搜 
索 ， 而 树 的 长 度 就 是 区 块 内 所 包含 的 交易 数目 的 对 数 〈 见 图 3.7) 。 


我 们 在 第 2 章 中 提 到 过 《在 第 5 章 还 将 继续 水 及) ， 区 英 头 部 还 包含 
了 挖 矿 谜 题 三 相关 的 信息 。 还 记得 ， 区 块头 部 的 哈 希 函数 必须 以 一 大 堆 
零 开 头 才 有 效 ， 此 外 ， 区 块头 部 还 要 包含 一 个 矿工 可 以 修改 的 “临时 随 
机 数 ”、 一 个 时 间 惟 和 一 个 点 数 〈 点 数 用 来 表示 找到 这 个 区 块 的 难 
度 ) 。 区 块头 部 是 挖 矿 过 程 中 唯一 哈 希 值 化 的 ， 所 以 要 验证 一 个 区 块 的 
链 ， 只 要 检查 区 块头 部 即 可 。 在 区 块头 部 唯一 的 交易 数据 是 交易 树 的 树 
根 一 一 “mrkl_root”。 


区 块 的 哈 希 链 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


| | 
| | 
I prev: H() prev: H() prev: H() 
| | 
trans: H() trans: H (|) 
| | 
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每 个 区 块 中 各 笔 交 易 的 哈 希 树 ( 梅 克 尔 树 ) 
图 3.7 比特 币 的 区 块 链 有 两 个 哈 希 结构 
0 
每 个 区 块 的 梅 克 尔 树 上 都 有 一 个 有 意思 的 交易 ， 叫 作 币 基 交 易 《〈 见 
图 3.8) 。 这 就 类 似 于 财 奴 币 里 的 造 币 交易 。 这 个 交易 创造 新 的 比特 
币 ， 它 看 上 去 像 是 一 个 普通 的 交易 ， 但 有 几 点 不 同 : 


i s[ 
{ 

"prev_out":{ 
"hash":“66086060..... 6868686600600" ， 
"Nn":4294967295 

}, 

"olinbase 这。 

}, 
[ 
"out" [ 
{ 
"value":"25.603371419"， 
"scriptPubKey":"OPDUP OPHASH1668 ... ” 


图 3.8 币 基 交 易 
注 : 币 基 交易 创造 新 的 比特 币 ， 这 个 交易 并 不 消费 之 前 交易 输出 的 比特 币 ， 因 此 ， 
没有 指针 指向 “上 一 交易 ”。 币 基 交 易 的 参数 可 以 是 任意 数据 。 币 基 交 易 的 价值 等 
于 区 块 奖励 加 上 区 块 中 包含 的 所 有 交易 费 。 


1 它 永远 只 有 一 个 单一 的 输入 与 单一 的 输出 。 
2. 这 个 交易 并 不 消费 之 前 交易 输出 的 比特 币 ， 因 此 ， 没 有 指针 指 
向 “上 一 交易 ”。 


3. 这 个 输出 值 目前 大 约 是 25 个 币 多 一 点 点 。 这 个 输出 值 融 是 矿工 的 
分 矿 收 入 。 它 由 两 部 分 组 成 : 一 部 分 是 奖励 的 25 个 比特 币 《〈 奖 励 在 每 生 
产 210 000 个 区 块 一 一 大 概 4 年 一 一 后 减 半 ) ， 为 一 部 分 是 所 有 交易 的 交 
易手 续费 。 


4. 还 有 一 个 特别 的 地 方 就 是 “ 币 基 ”* 参 数 ， 人 矿工 可 以 放任 何 值 进去 。 


这 里 值得 一 提 的 是 ， 当 比特 币 的 第 一 个 区 块 被 铸造 出 来 的 时 候 ， 访 
区 块 的 币 基 参数 提 及 了 伦敦 《泰晤士 时 报 》 的 一 则 报道 : 2009 年 1 月 3 
日 ， 财 政大 臣 拯救 银行 。 这 被 看 成 比特 币 发 明 的 政治 动机 ， 同 时 也 很 好 
地 证 明了 第 一 个 区 块 的 打包 时 间 是 在 2009 年 1 月 3 日 ， 上 述 报道 出 来 之 
后 。 这 也 是 矿工 使 用 “ 币 基 * 参 数 来 支持 很 多 比特 币 的 不 同 特性 。 


想 更 好 了 解 比特 币 的 区 块 和 交易 结构 ， 最 好 的 办 法 是 自己 浏览 区 块 
链 的 数据 ， 有 很 多 网 站 提供 数据 ， 比 如 blockchain.info， 在 该 网 站 上 可 
以 看 到 所 有 交易 ， 以 及 每 笔 交 易 所 引用 的 上 一 笔 交 易 。 由 于 比特 币 的 数 
据 都 是 公开 的 ， 一 些 程序 员 已 经 开发 出 了 全 图 形 化 的 展现 方式 。 


1. 也 就 是 竞争 记 账 权利 问题 。 一 一 译 者 注 


3.5 比特 币 网 络 


到 这 里 ， 我 们 已 经 讨论 了 参与 者 可 以 友 布 交易 ， 并 将 交易 纳入 区 块 
链 ， 这 一 切 似 乎 很 神奇 。 事 实 上 ， 上 述 整 个 过 程 都 是 通过 比特 币 网 络 完 
成 的 。 比 特 币 网 络 是 一 个 点 对 点 的 网 络 ， 沿 用 了 很 多 已 有 的 点 对 点 网 络 
的 理念 。 在 比特 币 网 络 里 ， 所 有 的 节点 都 是 平等 的 。 没 有 等 级 ， 也 没有 
特殊 的 节点 ， 或 所 谓 的 主 贡 点。 和 它 运 行 在 TCP 网 络 上 ， 有 一 个 随意 的 拓 
扑 结构 ， 每 个 节点 和 其 他 的 随机 市 点 相连 。 新 的 节点 也 可 以 随时 加 入 。 
可 以 试 着 现在 就 下 载 比特 币 节点 软件 ， 把 你 的 个 人 电脑 注册 为 一 个 节 
上 把 ， 这 个 市 点 的 权限 和 比特 币 网 络 里 所 有 其 他 节点 都 是 一 样 的 。 


由 于 随时 有 新 的 市 点 进入 ， 也 有 旧 的 节点 离开 ， 所 以 比特 币 网 络 事 
实 上 一 直 在 变化 。 并 没有 强制 的 规定 节点 何 时 明确 地 离开 网 络 ， 只 要 一 
个 节点 有 3 个 小 时 没有 音讯 ， 就 会 慢 慢 地 被 其 他 市 点 二 记 。 通 过 这 个 方 
式 ， 网 络 非常 缓和 地 处 理 节 点 下 线 问题 。 


上 文 担 到， 每 个 节点 和 其 他 随机 节点 相连 ， 网 络 中 并 不 存在 一 个 确 
定 的 地 理学 意义 上 的 拓扑 结构 。 那 么 一 个 节点 是 如 何 加 入 网 络 的 呢 ? 当 
你 局 动 一 个 新 节点 的 时 候 ， 先 同一 个 你 知 着 的 节点 发 送 一 个 简单 的 消 
恩 。 这 个 节点 就 是 你 的 种 子 节 点 ， 当 然 ， 有 多 种 不 同 的 方法 可 以 碍 找 种 
子 节点 。 然 后 你 就 会 问 你 的 种 子 节 点 是 不 是 还 知道 其 他 什么 节点 ? 在 链 
接 到 一 个 新 的 节 氮 后 ， 你 可 以 重复 这 个 过 程 许多 次 ， 最 后 你 可 以 选择 和 
哪些 市 点 相连 ， 这 时 ， 你 就 成 为 比特 币 网 络 里 一 个 完全 合格 的 节点 了 。 
这 些 步 又 里 有 很 多 随机 性 ， 理 想 的 情况 就 是 你 能 和 一 些 随 机 组 的 节点 相 
连 。 为 了 加 入 网 络 成 为 网 络 节点 ， 你 只 需 知道 一 开始 怎么 和 其 中 一 个 节 
点 链接 就 行 了 。 


那加 入 网 络 到 底 有 什么 好 处 ? 当然 是 为 了 维护 区 块 链 。 当 我 们 发 起 
一 个 交易 的 时 候 ， 我 们 想 让 整个 网 络 都 知道 。 这 是 通过 一 个 “ 泛 
洪 ”(flooding)〉 的 算法 完成 的 [有 时 候 我 们 称 之 为 “八卦 "(gossip) 协 
议 ]】。 如 果 爱 丽 丝 要 转账 给 鲍 艺 ， 她 的 客户 端 发 起 一 个 交易 ， 然 后 把 这 
笔 交 易 告知 所 有 和 她 的 客户 端 节 点 相 链接 的 其 他 节点 ， 这 些 节 点 会 进行 
一 系列 核验 ， 决 定 是 否 接 受 并 转播 这 笔 交 易 。 如 果 核 验 通 过 ， 这 些 节 点 
会 将 这 笔 交 易 信息 传 播 给 与 其 相连 的 其 他 节点 。 当 节点 接收 到 一 个 交易 
信息 后 ， 会 把 交易 放 入 一 个 交易 池 ， 但 需要 注意 的 是 ， 交 易 池 里 的 交易 
还 没有 被 打包 进 区 块 链 。 如 果 节 点 接收 到 的 交易 在 交易 池 里 已 经 存在 ， 
就 不 会 再 次 把 它 传播 出 去 。 这 样 ， 就 确保 了 泛 洪 协议 会 自动 终结 ， 而 不 
是 让 一 个 交易 在 网 络 一 再 被 传播 永 不 停止 。 由 于 每 个 交易 都 有 一 个 独 一 
无 二 的 哈 希 值 ， 所 以 节点 可 以 非常 方便 地 但 询 某 个 交易 是 否 在 自己 的 交 
易 池 里 。 


节点 接收 到 一 个 新 交易 信息 时 ， 如 何 核验 呢 ? 这 里 有 四 个 关卡 : 第 
一 个 也 是 最 重要 的 一 个 是 交易 验证 ， 也 就 是 验证 交易 在 当前 的 区 块 链 中 
是 有 效 的 ， 市 反 会 针对 每 个 前 友 交 易 的 输出 运行 核验 脚本 ， 确 保 脚 本 的 
返回 值 都 为 真 ， 第 二 ， 检 查 是 否 有 双重 文 付 ， 第 三 ， 如 前 文 所 述 ， 点 
会 检查 这 笔 交 易 信 息 是 不 是 已 经 被 本 节点 接收 过 ;第 四 ， 节 点 只 会 接收 
和 传递 在 白 名 单 上 的 标准 脚本 。 


上 述 所 有 检查 都 是 合理 检查 ， 所 有 市 反 很 好 地 执行 这 些 检查 能 够 使 
网 络 健康 、 稳 定 地 运行 ， 但 实际 上 并 没有 规则 强制 节点 执行 这 些 检查 。 
虽然 如 此 ， 每 个 节点 还 是 有 必要 进行 检查 的 一 一 因为 比特 币 网 络 是 一 个 
点 对 点 的 对 等 网 络 ， 任 何人 都 可 以 随时 加 入 ， 总 有 一 些 节 点 会 友 出 双重 
文 付 ， 或 者 非 标准 脚本 的 交易 ， 甚 至 彻 展 就 是 非法 交易 。 


由 于 网 络 传递 有 延迟 ， 不 同 的 节点 可 能 会 有 不 同 的 交易 池 。 当 有 双 
重文 付 攻击 的 时 候 ， 这 个 现象 会 变 得 十 分 有 意思 。 假 设 爱丽 丝 想 把 同一 
个 比特 币 支 付 给 鲍 动 与 公理 ， 于 是 ， 爱 丽 丝 儿 乎 同时 发 出 两 笔 交 易 。 有 


些 节 点 先 听 到 爱丽 丝 - 鲍 勃 交 易 ， 有 些 则 先 听 到 爱丽 丝 -> 查理 交易 。 当 
一 个 节点 接收 到 了 这 两 个 交易 当中 任何 一 个 ， 它 就 会 把 接收 到 的 交易 放 
入 交易 池 中 ， 之 后 ， 它 听 到 了 为 一 个 交易 ， 看 上 去 像 是 双重 文 付 交 易 ， 
这 个 布点 束 会 把 它 丢 弃 挥 不 再 四 外 传播 。 结 琳 束 是 众多 的 节点 会 对 “ 哪 
一 个 交易 应 该 被 纳入 区 块 链 ”产生 分 卜 。 这 种 情况 被 称 为 范 态 条 件 = 


(race condition ) 。 


好 在 对 于 比特 币 来 说 ， 这 完全 不 是 问题 : 打包 下 一 个 区 块 的 矿工 会 
打破 这 个 僵局 ， 他 会 决定 哪个 交易 会 最 终 打包 进 这 个 区 块 。 如 果 爱 丽 丝 
一 鲍 台 的 交易 进入 区 块 ， 那 些 听 到 爱丽 丝 ~ 碍 理 的 节点 会 把 爱丽 丝 -得 
理 的 交易 从 交易 池 里 吻 除 ， 因 为 那 是 一 个 双重 支付 ， 而 那些 听 到 爱丽 丝 
-> 鲍 动 的 市 反 也 会 把 这 个 交易 吻 除 出 去 ， 因 为 这 笔 交 易 已 经 被 纳入 区 块 
链 。 因 此 ， 一 旦 这 个 区 块 被 传播 以 后 ， 殊 不 再 有 前 面 说 的 分 歧 了 。 


由 于 每 个 节点 默认 保留 最 早 接收 到 的 交易 ， 所 以 节点 在 网 络 上 的 位 
置 就 很 重要 。 如 果 两 个 矛盾 的 交易 或 区 块 在 网 络 上 两 个 不 同 地 方 被 友 
起 ， 它 们 会 同时 间 整 个 网 络 广 播 ， 市 把 完 接 收 到 哪个 交易 取决 于 它 在 网 
络 的 位 置 。 


当然 ， 这 基于 一 个 假设 : 不 管 接 收 到 什么 信息 ， 每 个 节点 均 保 留 最 
早 接 收 到 的 交易 。 但 是 比特 币 网 络 是 一 个 对 等 的 网 络 ， 市 点 并 不 被 强制 


要 求 这 么 做 ， 任 何 贡 点 都 有 权 按 照 其 他 逻辑 行事 ， 并 按照 所 选 的 逻辑 决 
定 到 后 保留 哪个 交易 、 转 播 哪 些 交 易 ， 我 们 会 在 第 5 半 的 矿工 交 励 部 分 
讨论 这 个 问题 。 


替 验 证 交易 和 费用 替代 策略 (replace-by-fee) 


在 第 2 章 我 们 讨论 了 零 验 证 交易 ， 即 一 旦 交易 在 网 络 中 广播 ， 接 
收 方丈 立即 接受 交易 。 零 验证 交易 不 是 用 来 防止 重复 支付 的 ， 但 由 于 


矿工 的 缺 省 行为 是 把 先 接收 到 的 交易 放 入 交易 池 ， 这 样 ， 在 零 验证 区 
易 里 就 很 难 实现 重复 文 付 ， 同 时 ， 由 于 零 验证 交易 非常 方便 ， 因 此 变 
得 越 来 越 普及 。 

目 从 2013 年 ， 丰 工 的 缺 省 行为 变 成 了 “费用 葵 代 策略 ” 即 市 后 在 
遇 到 有 冲突 的 交易 时 ， 会 把 交易 手续 费 更 高 的 交易 放 进 自己 的 交易 
池 ， 把 手续 费 更 低 的 将 换 出 去 。 站 在 矿工 的 角度 ， 由 于 收益 更 高 ， 因 
此 也 是 理性 的 选择 一 一 至 少 在 短期 看 是 这 样 。 但 是 这 种 费用 蔡 代 策略 
却 使 多 重文 付 攻击 变 得 更 容易 了 。 


因此 ， 费 用 将 代 策 略 受到 了 不 少 争 议 ， 这 些 争 议 一 方面 从 技术 层 
面 讨论 在 费用 符 代 策略 中 是 否 可 以 真正 阻止 多 重文 付 ， 另 一 方面 从 哲 
学 层面 讨论 比特 币 是 不 是 应 该 要 尽 可 能 文 持 零 验证 ， 或 直接 放弃 费用 
丛 代 琐 略 。 我 们 这 里 就 不 再 资 述 这 些 讨论 了 很 久 的 争议 了 ， 但 最 近 比 
特 币 核心 代码 倒 选 用 了 “有 选择 权 的 ”optrin) 费用 符 代 人 策略 的 做 
法 ， 也 就 是 交易 可 以 标记 上 自己 是 否 适 用 费用 蔡 代 策略 。 


上 面 说 的 是 交易 的 传播 。 至 于 区 块 的 传播 ， 即 矿工 挖 到 一 个 矿 ( 打 


包 一 个 区 块 )， 然 后 将 区 块 加 入 区 块 链 ， 这 个 过 程 与 新 交易 的 传播 过 程 
类 似 ， 也 受 同 样 范 态 条 件 的 限制 。 如 果 两 个 有 效 的 区 块 同时 被 挖 到 (也 
就 是 有 两 个 矿工 同时 获得 了 记 账 权力 时 ) ， 只 有 其 中 一 个 区 块 可 以 进入 
长 期 共识 链 ， 哪 个 区 块 被 最 终 纳 入 长 期 共识 链 取决 于 其 他 节点 选择 在 哪 
个 区 块 上 扩展 区 块 链 ， 未 被 纳入 的 一 个 即 被 丢 茎 。 


核验 一 个 区 块 要 比 核验 一 个 交易 复杂 得 多 。 除 了 确认 区 块 尖 部 ， 确 
定 里 面 的 哈 希 值 是 在 可 以 接受 的 范围 内 ， 节 点 还 必须 确认 区 块 里 的 每 个 
交易 。 最 后 ， 一 个 市 皮 往 外 传播 的 区 块 必须 是 最 长 的 一 条 区 块 链 上 新 加 
入 的 区 块 (当然 , “最 长 的 区 块 链 ”取决 于 节点 对 区 块 链 当前 状态 的 认 
识 ) 。 只 有 这 样 才 可 以 防止 区 块 链 分 又 。 但 束 像 传播 交易 时 一 样 ， 市 后 
同样 可 以 执行 它 自己 的 逻辑 它 可 以 选择 传递 无 效 的 区 块 ， 也 可 以 选择 


传递 在 共识 链 上 更 早 加 入 的 区 块 而 不 是 最 新 加 入 的 区 块 。 这 样 束 会 造成 
一 个 分 又 ， 不 过 这 种 情况 是 协议 可 以 承受 的 。 


泛 洪 算 法 (flooding _ algorithm) 的 延迟 情况 到 底 怎 样 呢 ? 我 们 一 起 
看 一 下 图 3.9， 这 张 图 展示 了 区 块 被 网 络 中 不 同 数量 的 节点 接收 所 花费 
的 时 间 《 秒 ) 。 三 条 线 分 别 代 表 区 块 被 网 络 中 25%、50%6、759% 的 节点 
接收 到 所 需要 的 时 间 。 可 以 看 到 ， 由 于 网 络 带 宽 的 限制 ， 比 较 大 的 区 块 
需要 30 秒 左右 才能 传播 到 大 部 分 的 节点 。 所 以 这 个 协议 不 是 很 有 效率 。 
在 互联 网 上 30 秒 是 比较 长 的 时 间 了 ， 在 比特 币 的 设计 里 ， 简 便 是 第 一 位 
的 《简单 的 网 络 、 节 点 可 随时 加 入 或 退出 ) ， 而 效率 是 第 二 位 的 ， 所 以 
在 比特 币 网 络 里 ， 一 个 区 块 可 能 需要 经 过 很 多 市 点 才 到 达 最 远 的 节点 。 
如 果 网 络 采 取 自 上 而 下 的 设计 ， 那 我 们 就 需要 使 任何 两 个 节点 的 距离 都 
很 短 。 


网 络 大 小 


比特 币 网 络 大 小 很 难 测量 ， 因 为 它 随时 都 在 变化 ， 而 且 没 有 一 个 中 
央 权 威 机 构 。 有 些 人 通过 研究 给 了 一 些 估计 : 往 高 说 ， 每 个 月 可 能 
100 万 个 IP 地 址 成 为 比特 币 网 络 的 节点 (也 可 能 是 临时 成 为 节点 ) 。 往 
低 说 ， 大 约 只 有 5 000~10 000 节 点 永远 在 线 并 处 理 交 易 。 这 个 数字 有 点 
出 乎 意料 得 小 ， 但 是 截至 本 书 完成 时 ， 并 没有 证 据 表 明永 远 在 线 的 节点 
数量 在 升 高 或 降低 。 
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图 3.9 区 块 传播 时 间 
注 : 展示 了 区 块 被 网 络 中 不 同 数量 《百分比 ) 的 节点 接受 所 花费 的 时 间 。 
资料 来 源 : Yonatan Sompolinsky 和 Aviv Zohar， 加 快 比 特 币 交 易 的 传播 速度 
(Accelerating Bitcoin's Transaction Processing, 2014) 。 可 从 下 述 网 址 获得 
https://eprint. iacr. org/2013/881。 数 据 由 Yonatan Sompolinsky 和 Aviv Zohar 授 
权 使 用 


存储 空间 需求 


完全 有 效 的 市 反 必 须 永久 在 线 ， 这 样 才能 接收 到 所 有 的 交易 数据 。 
一 个 节点 离线 时 间 越 入 ， 当 它 重 新 连接 到 网 络 的 时 候 ， 就 需要 越 多 时 间 
来 更 新 所 有 交易。 这 些 节 点 还 需要 把 完整 的 共识 区 块 链 都 存储 下 来 ， 也 
需要 有 好 的 网 络 连 接 ， 确 保 可 以 接收 到 所 有 交易 并 将 其 转播 给 其 他 市 


点 。 目 前 的 存储 空间 大 约 要 几 十 个 GB“〈 见 图 3.10) ， 一 台 人 台式 机 就 能 满 
足 要 求 。 


最 后 ， 完 全 有 效 节 点 必须 维护 在 交易 中 产生 的 〈 交 易 的 输出 ) 、 未 
被 消费 折 的 比特 币 的 完整 列表 ， 这 个 列表 最 好 放 在 内 存 而 非 便 盘 里 ， 这 
样 ， 在 接收 到 一 个 交易 信息 的 时 候 ， 节 点 才能 快速 查看 、 运 行 脚本 ， 验 
证 签名 是 否 有 效 ， 然 后 把 交易 放 入 交易 池 。 到 2014 年 年 中 ， 大 约 有 4 
400 万 的 交易 被 纳入 区 块 链 ， 其 中 有 1 200 万 个 交易 产生 的 比特 币 没有 被 
使 用 。 还 好 ， 这 个 数据 不 大 ， 可 以 很 容易 地 放 进 1G 内 存 里 。 
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图 3. 10 区 块 链 的 大 小 
注 : 全 节点 必须 保持 整个 区 块 链 ， 在 2015 年 年 底 ， 区 块 链 大 小 在 50G6B 以 上 。 


除了 完全 有 效 节 点 之 外 ， 还 有 一 种 轻 量 节点 (nightweight nodes)， 或 
者 称 为 轻 客户 端 ， 也 叫 简单 付款 验证 (Simple Payment Verification， 简 
称 SPV) 客户 问 。 事 实 上 ， 在 比特 币 系 统 里 的 大 部 分 节点 都 是 轻 量 节 
上 点。 这些 节点 不 会 存储 整个 比特 币 区 块 链 ， 它 们 只 存储 它们 所 关心 的 、 


需要 进行 核验 的 部 分 交易 。 如 果 你 使 用 一 个 钱包 软件 ， 那 里 面 就 会 有 一 
个 SPV 市 把 ， 这 个 市 点 只 会 下 载 同 你 的 账户 付 球 的 交易 及 区 块 涉 部 。 


一 个 SPV 节 点 的 安全 等 级 远 不 如 全 节点 。 它 可 以 核验 那些 很 难 被 控 
到 的 区 块 一 一 因为 它 有 区 块 尖 部 数据 ， 但 它 不 能 核验 一 个 区 块 里 所 有 交 
易 记 录 的 有 效 性 一 一 因为 它 没 有 所 有 的 交易 历史 记录 ， 也 没有 那些 未 被 
消费 的 比特 币 的 列表 。SPV 市 点 只 验证 那些 和 它们 相关 的 交易 ， 所 以 它 
们 必须 依赖 那些 全 节点 去 验证 网 络 上 的 其 他 所 有 交易 。 这 虽然 是 一 种 安 
全 性 上 的 受 协 ， 却 不 是 个 坏 主意 : 轻 量 市 点 依赖 全 节点 去 处 理 那 些 比较 
难 的 工作 ， 但 当 茶 个 区 块 由 于 某 些 原因 未 被 矿工 挖 出 来 时 《〈 挖 夏 成 本 巨 
大 ) ， 这 些 轻 量 市 点 也 会 做 一 些 核 验 来 确保 这 个 区 块 不 会 被 拒绝 。 


作为 一 个 SPV 市 扣 可 以 节省 很 多 资源 。 区 块 尖 部 的 大 小 只 是 整个 区 
块 链 的 干 分 之 一 。 所 以 轻 量 节 扣 不 需要 儿 十 G 的 存储 空间 ， 只 需要 几 十 
MB 即 可 ， 即 使 一 部 智能 手机 也 能 成 为 比特 币 网 络 的 轻 量 节点 。 


比特 币 是 一 个 开源 协议 ， 比 特 币 网 络 一 定 是 由 实现 方式 各 不 相同 的 
软件 系统 在 无 颖 交互 。 这 样 ， 即 使 有 些 软件 系统 有 缺陷 ， 也 不 至 于 使 整 
个 比特 币 网 络 次 痪 。 比 较 好 的 现象 是 ， 人 们 用 不 同 的 语言 不 断 地 重新 实 
现 协 议 ， 有 些 人 用 C++、 有 些 人 用 Go 语言 ， 还 有 不 少 人 用 其 他 语言 。 不 
好 的 现象 是 ， 绝 大 部 分 的 节点 都 会 调用 比特 币 官方 客户 端的 资源 库 
(bitcoind ”library)〉 ， 这 个 库 是 比特 币 核心 代码 开发 者 们 用 C++ 开发 的 
库 ， 而 且 有 些 节点 用 的 是 过 时 的 版 本 。 所 以 ， 即 使 在 同一 时 间 ， 大 家 运 
行 的 客户 端 都 略 有 不 同 。 


1. 苋 态 条 件 也 可 理解 为 麻 乱 情况 。 一 一 译 者 注 


3.6 限制 与 优化 


最 后 我 们 要 谈 一 下 比特 币 协议 的 一 些 内 在 限制 ， 以 及 优化 的 难度 。 
在 比特 币 2009 年 刚 问 世 的 时 候 ， 它 的 协议 有 许多 内 在 的 硬性 限制 ， 那 是 
因为 在 那 时 没有 人 会 想到 它 会 发 展 成 一 个 重要 的 国际 货币 。 比 如 每 个 区 
块 的 平均 时 间 、 块 的 大 小 、 每 个 区 块 的 签名 数目 、 切 分 性 、 比 特 币 总 
量 、 区 块 奖励 结构 等 。 


比特 币 的 总 体 数 量 与 记 账 奖励 很 可 能 永远 都 不 会 改变 ， 因 为 那样 经 
济 影响 太 大 。 矿 工 与 投资 人 都 在 比特 币 现 有 的 框架 内 投入 巨 资 ， 如 果 这 
个 框架 改变 了 ， 会 对 他 们 产生 巨大 冲击 。 所 以 ， 社 区 基本 达成 共识 ， 不 
管 这 些 特性 好 或 不 好 ， 痢 不 应 该 改变 。 


但 其 他 一 些 方面 的 改善 可 以 让 所 有 人 受益 一 一 因为 一 些 初始 设计 事 
后 来 看 确实 不 太 合理 。 其 中 最 主要 的 是 比特 币 系 统 的 交易 处 理 能 力 。 每 
秒 钟 比特 币 网 络 到 底 可 以 处 理 多 少 交 易 ? 这 个 硬 伤 来 自 对 区 块 大 小 的 硬 
性 规定 ， 每 个 区 块 大 小 限定 在 1IMB， 每 个 交易 大 约 是 250 字 节 ， 所 以 每 
块 最 多 容纳 4 000 个 交易 。 平 均 每 隔 10 分 钟 ， 有 一 个 矿工 获得 记 账 权 
利 ， 所 以 每 秒 钟 只 能 处 理 7 个 交易 ， 这 就 是 比特 币 网 络 的 交易 处 理 能 
力 ! 似乎 改 掉 这 些 限 制 只 是 需要 改 掉 源 代码 的 某 些 常数 这 么 简单 ， 实 际 
上 却 并 不 容易 ， 后 面 我 们 会 简单 分 析 一 下 原因 。 


比特 币 的 交易 处 理 能 力 到 底 属于 什么 水 平 ? 和 前 主流 的 一 些 信用 卡 
公司 相 比 ， 比 特 币 这 个 处 理 能 力 实在 太 低 了 。 我 们 可 以 做 一 下 比较 : 维 
了 (Visa) 平均 每 秒 处 理 2 000 笔 交易 ， 峰 值 每 秒 处 理 10 000 笔 交易 。 贝 
宝 (PayPal) 的 交易 处 理 能 力 比 维 萨 弱 ， 但 峰值 时 每 秒 也 能 处 理 100 笔 
交易 。 比 特 币 无 法 处 理 这 种 量 级 的 交易 。 


另 一 个 限制 是 比特 币 用 的 密码 算法 。 现 在 只 有 几 个 哈 希 函数 算法 和 
一 个 签名 算法 可 以 使 用 。 比 特 币 使 用 的 签名 算法 是 ESDSA 一 一 一 种 
secp256k1 的 覃 圆 曲 线 数 字 签 名 算法 〈 见 第 1 章 ) ， 大 家 担心 在 比特 币 的 
一 生 《〈 大 家 都 希望 是 很 长 的 一 生 ) 中 ， 这 个 算法 可 能 会 被 攻破 。 哈 希 函 
数 也 有 同样 的 问题 ， 比 特 币 使 用 的 SHA-1 也 有 弱点 ， 进 10 年 来 ， 对 SHA- 
1 的 分 析 也 逐步 取得 了 一 些 进展 〈 尽 管 并 不 致命 ) 。 为 了 改变 这 些 问 
题 ， 我 们 不 得 不 加 强 比特 币 的 脚本 语言 来 文 持 新 的 密码 算法 。 


修订 协议 


那 我 们 到 底 怎 样 才能 修订 比特 币 协议 并 引入 一 些 新 特性 呢 ? 你 也 许 
认为 这 很 简单 ， 只 要 发 布 一 个 新 版 本 ， 然 后 更 新 所 有 的 节点 。 但 事实 上 
非常 复杂 ， 实 际 中 ， 我 们 根本 无 法 假定 所 有 的 节点 都 会 更 新 版 本 。 网 络 
里 的 茶 些 节点 会 无 法 获取 新 版 本 ， 或 无 法 及 时 获取 新 版 本 。 绝 大 多 数 节 
点 更 新 了 协议 、 部 分 节点 没有 更 新 的 后 果 是 人 否 严 重 ， 取 决 于 协议 更 新 的 
内 容 。 按 照 产 生 的 结果 ， 协 议 修订 可 以 分 为 两 种 类 型 : 一 种 会 造成 硬 分 
又 ， 男 一 种 会 造成 软 分 又 。 


通过 修订 协议 引入 新 的 特性 ， 可 能 会 使 前 一 版 本 的 协议 失效 。 即 运 
行 新 版 协议 的 节点 认定 为 有 效 的 区 块 ， 会 被 运行 旧版 协议 的 节点 认定 为 
无 效 。 而 由 于 我 们 不 能 确保 每 个 节点 都 会 更 新 协议 ， 我 们 只 能 假定 大 部 
分 节点 已 经 升级 《新 节点 ) ， 但 还 有 部 分 节点 没有 升级 〈 老 节点 ) ， 很 
快 ， 最 长 的 那个 区 块 链 分 支 里 包含 的 某 些 区 块 会 被 老 市 上 认定 为 无 效 区 
块 ， 因 此 ， 老 市 扩 会 认为 其 他 的 分 支 〈 在 这 个 分 文中 ， 所 有 新 市 皮 认 为 
有 效 的 区 块 都 会 被 排除 在 外 ) 才 是 最 长 、 有 效 的 区 块 链 分 文 ， 并 一 直 打 - 
展 这 个 分 文 ， 直 到 它们 更 新 了 版 本 。 


这 种 改变 称 为 硬 分 又 ， 它 使 得 原先 的 链 分 裂 了 。 网 络 上 的 所 有 市 反 
会 根据 其 所 运行 的 协议 版 本 去 扩展 两 条 不 同 的 区 块 链 ， 当 然 ， 这 两 个 分 
又 再 也 不 会 合并 。 那 些 老 节点 只 要 不 更 新 版 本 ， 就 被 永远 地 排除 在 了 力 
一 条 链 之 外 ， 这 是 比特 币 社区 所 不 能 接受 的 。 


软 分 文 


另 一 种 修订 是 加 入 新 的 特性 ， 让 现 有 的 核验 规则 更 加 严格 。 那 样 老 
的 节点 依然 会 接收 所 有 的 区 块 ， 而 新 的 节点 会 拒绝 一 些 。 这 样 的 改变 叫 
作 “ 软 分 又 "。 这 可 以 避免 硬 分 又 所 造成 的 永久 分 裂 。 


我 们 如 果 引 入 可 以 产生 软 分 又 的 新 版 苏 议 ， 会 有 什么 后 果 呢 ?运行 
新 版 协议 的 节 扣 会 使 用 一 些 更 严格 的 规则 ， 现 在 ， 假 定 绝 大 部 分 反 部 
更 新 了 新 版 协议 并 执行 新 的 规则 (这 是 产生 软 分 又 的 关键 ， 因 为 老 节 点 
不 会 执行 新 规则 ， 新 节点 的 数量 要 足够 多 才能 够 苋 争 最 长 的 链 ) 。 这 种 
情况 下 ， 老 市 扣 可 能 会 挖 到 一 些 无 效 的 区 块 一 一 因为 这 些 区 块 中 包含 一 
些 在 新 规则 下 无 法 核验 通过 的 交易 ， 然 后 ， 老 节点 会 知道 它们 核验 有 效 
的 区 块 不 被 别 的 市 点 接 受 〈 即 使 它们 并 不 知道 原因 〉 ， 这 使 得 老 市 把 的 
矿工 会 去 更 新 协议 。 而 且 ， 如 果 新 节点 用 它们 的 区 块 扩展 了 老 贡 点 的 分 
文 ， 那 么 ， 老 节点 也 会 转 而 扩展 这 个 分 文 ， 原 因 古 新 节点 核验 通过 的 区 
块 ， 老 市 把 也 必定 能 核验 通过 。 这 样 就 没有 便 分 又 了 ， 只 是 会 有 很 多 临 
时 的 小 型 分 又 而 已 。 


本 章 3.2 节 提 到 的 “ 文 付 给 脚本 的 哈 希 值 ? 就 是 软 分 又 的 一 个 经 典 例 
子 。 第 一 版 比特 币 协议 里 并 没有 P2SH。P2SH 之 所 以 造成 软 分 又 ， 是 因 
为 对 老 节点 而 言 ， 一 个 有 效 的 P2SH 交 易 也 可 以 核验 通过 一 一 它 只 验证 
这 个 哈 希 值 跟前 一 笔 交 易 输出 哈 希 值 是 不 是 一 样 而 已 ， 它 并 不 知道 还 要 
进一步 检验 脚本 是 否 合法 。 我 们 依赖 新 版 节点 去 进行 这 项 核验 : 脚本 本 
身 真 的 可 以 获取 到 前 一 个 交易 输出 的 币 。 


那 我 们 到 底 可 以 通过 软 分 又 为 比特 币 协议 添加 哪些 特性 呢 ? P2SH 


是 成 功 的 ， 也 许 添加 新 的 密码 算法 也 可 以 通过 软 分 又 实现 。 我 们 也 可 以 
通过 软 分 又 在 元 数据 的 币 基 参数 中 添加 更 多 的 信息 实现 ， 目 前 ， 币 基 参 
数 可 以 是 任何 数值 ， 但 未 来 我 们 也 许可 以 限定 币 基 参 数 的 格式 。 已 经 有 
人 提出 ， 可 以 在 币 基 参数 里 放 入 一 个 梅 元 尔 树 根 ， 其 中 包含 所 有 未 被 消 
费 的 比特 币 的 信息 。 这 种 做 法 只 会 造成 软 分 又 ， 因 为 老 节 点 核验 通过 的 
区 块 ， 在 新 节点 上 可 能 无 法 核验 通过 。 但 随 着 区 块 链 的 延长 ， 很 快 老 版 
本 就 会 转 而 去 扩展 最 长 的 区 块 链 分 支 。 


其 他 的 一 些 改变 可 能 就 会 产生 便 分 又 了 ， 比 如 在 比特 币 里 添加 新 的 
功能 操作 代码 、 改 变 区 块 大 小 和 交易 规模 ， 甚 至 其 他 一 些 修复 性 的 改 
动 。 本 章 3.2 节 提 到 过 MULTISIG 指 令 存 在 一 个 缺陷 ， 它 会 推送 给 堆栈 一 
个 莫名 其 妙 的 值 ， 要 修复 这 个 缺陷 ， 也 会 产生 硬 分 又 。 这 就 是 为 什么 尽 


管 这 个 缺陷 很 烦人 ， 但 也 一 直 没 有 修复 ， 因 为 和 硬 分 又 相 比 ， 保 留 一 个 
缺陷 还 是 可 以 忍受 的 。 有 些 修订 非常 有 意义 ， 但 目前 比特 币 环境 不 太 可 
能 接受 便 分 又 。 但 许多 优秀 想法 都 在 其 他 的 竞争 币 中 得 到 了 测试 而 且 成 
功 运行 ， 因 为 那些 竞争 币 系 统 是 从 头 开 始 建立 的 ， 便 分 又 不 会 产生 严重 
的 后 果 。 我 们 会 在 第 10 章 进行 更 多 的 讨论 。 


比特 币 区 块 大 小 的 难题 


因为 比特 币 变 得 越 来 越 受 欢迎 ， 到 2016 年 年 初 ， 已 经 开始 经 名 发 
生 区 块 被 交易 写 满 的 情况 ， 尤 其 是 当 区 块 在 超过 10 分 钟 后 还 没有 被 矿 
工控 出 来 时 《因为 挖 矿 的 随机 性 ， 确 实 有 些 区 块 在 10 分 钟 后 还 没有 被 
人 到) ， 这 使 得 有 些 交 易 不 得 不 排队 等 竺 被 写 进 区 块 链 。 但 要 改变 区 
块 大 小 ， 瓯 需要 硬 分 又。 

究竟 是 否 要 改变 ， 以 及 如 何 改变 区 块 大 小 ， 在 比特 币 社区 里 有 热 
烈 的 讨论 。 这 些 讨论 几 年 前 就 开始 了 ， 但 一 二 进展 缓慢 ， 无 法 达成 共 
识 ， 近 来 讨论 日 趋 激 烈 。 我 们 在 后 面 第 7 章 会 讨论 比特 币 的 社区 、 政 


洽 与 党 理 。 

随 看 区 块 大 小 问题 得 到 共识 解决 方案 ， 本 半 的 一 些 细节 有 可 能 器 
会 过 时 。 提 高 比特 币 交 易 处 理 能 力 的 一 些 技术 细节 很 有 意思 ， 我 们 茧 
励 读 者 可 以 通过 网 络 阅读 更 多 的 资料 。 


到 了 这 里 ， 你 一 定 对 比特 币 的 技术 机 制 有 了 一 定 程度 的 了 解 ， 也 知 
道 比特 币 市 点 是 如 何 工作 的 。 但 是 我 们 自 员 并 不 是 一 个 比特 币 市 太 ， 你 
不 会 在 大 脑 里 运行 比特 币 节点 程序 。 那 我 们 到 底 如 何 和 网 络 进行 交互 ， 
从 而 使 比特 币 可 以 成 为 一 种 货币 呢 ? 如 何 让 一 个 节点 通知 你 交易 信息 


呢 ? 如 何 使 用 现金 来 交换 比特 币 呢 ? 又 如 何 储存 比特 币 呢 ? 对 于 如 何 创 
造 一 种 可 被 人 们 使 用 的 货币 《而 不 仅仅 是 一 个 软件 ) 来 说 ， 这 些 问 题 至 
天 重要 ， 我 们 将 会 在 下 一 章 回答 这 些 问 题 。 


延伸 阅读 


在 这 一 章 中 我 们 讨论 了 很 多 技术 细节 ， 你 也 许 很 难 一 次 消化 。 作 
为 本 章 的 补充 读物 ， 你 可 以 上 网 查阅 一 些 我 们 讨论 过 的 资料 。 网 上 有 
许多 网 站 能 让 你 看 到 区 块 和 交易 到 底 是 什么 样子 的 。 比 如 有 一 个 “区 
块 链 浏览 器 ”， 网 址 是 : blockchain. info。 


还 有 一 本 比特 币 开发 手册 也 很 好 地 讲述 了 一 些 技术 细节 【尤其 是 其 
中 的 第 五 、 第 六 和 第 七 章 ) : 


Antonopoulos,Andreas ” M. Mastering Bitcoin:Unlocking Digital 
Cryptocurrencies . Newton, MA:O'Reilly Media,2014. 


第 4 章 


如 何 储存 和 使 用 比特 币 


本 章 主 要 讨论 实际 应 用 中 如 何 储存 和 使 用 比特 币 。 


4.1 简 早 的 本 地 储存 


让 我 们 从 最 简单 的 储存 方式 开始 ， 也 就 是 把 比特 币 存放 在 本 地 设备 
上 。 如 我 们 之 前 所 说 ， 要 使 用 比特 币 ， 你 首先 要 知道 一 些 公共 的 信息 和 
一 些 私密 的 信息 。 公 共 信 息 就 是 那些 记录 在 区 块 链 上 的 内 容 一 一 该 比特 
币 的 识别 信息 、 币 值 等 。 私 密 信 息 即 比特 币 持 有 人 一 一 也 就 是 你 本 人 的 
私 钥 。 你 不 必 太 担心 如 何 储存 公共 信息 ， 因 为 你 随时 都 可 以 去 调 取 。 但 
古 私 钥 则 是 你 需要 好 好 保管 的 。 所 以 在 实际 运用 中 ， 储 存 比 特 币 就 是 储 
存 与 管理 你 的 私 钥 。 


储存 比特 币 其 实 就 是 如 何 保存 和 管理 比特 币 私 钥 。 


储存 与 管理 私 铀 ， 主 要 有 三 个 目标 : 第 一 是 可 获取 性 ， 当 你 要 用 比 
特 币 的 时 候 ， 可 以 随时 随地 取 用 ; 第 二 是 安全 性 ， 保 证 没有 其 他 人 可 以 
动用 你 的 比特 币 ， 如 果 有 人 能 动用 你 的 比特 币 ， 那 他 可 以 直接 转账 给 目 
己 ， 之 后 你 就 不 再 拥有 这 个 比特 币 ， 第 三 是 便利 性 ， 密 钥 管 理应 当 是 简 
单 易 行 的 。 你 可 以 想到 ， 要 同时 做 到 这 三 点 是 很 不 容易 的 : 


不 同 的 密 铀 管理 方法 就 是 对 上 述 三 点 《可 获取 性 、 安 全 性 和 便利 
性 ) 做 出 权衡 。 


最 简单 的 钥匙 管理 当然 是 把 它们 储存 在 你 自己 的 本 地 设备 上 : 你 的 
个 人 电脑 、 你 的 手机 ， 或 你 持 有 的 、 拥 有 的 或 控制 的 小 玩意 。 用 智能 
机 应 用 软件 ， 按 几 个 键 你 就 可 以 文 配 使 用 你 的 比特 币 了 ， 这 么 做 的 确 非 
党 方便。 但 这 样 做 的 可 获取 性 或 安全 性 都 不 是 很 好 ， 如 果 你 的 设备 丢 


失 ， 或 者 你 的 设备 死机 ， 你 需要 格式 化 你 的 磁盘 ， 或 者 你 的 文件 被 病毒 
侵蚀 ， 你 的 私 钥 就 丢失 了 ， 你 的 比特 币 也 就 一 同 丢 失 了 。 安 全 性 方面 的 
问题 是 类 似 的 ， 例 如 有 人 委 取 你 的 设备 或 入 侵 你 的 设备 或 者 让 你 的 设备 
中 毒 ， 将 你 的 私 钥 揽 贝 ， 这 样 他 们 惑 可 以 将 你 所 有 的 比特 币 转 给 他 们 目 
国 本 六 


换言之 ， 将 私 钥 存 储 在 你 的 本 地 设备 ， 尤 其 是 手机 设备 ， 就 好 比 你 
将 钱 放 在 你 的 钱包 里 。 在 日 常 花 销 的 时 候 是 很 方便 ， 但 你 一 定 不 想 将 你 
的 毕生 积 萤 都 带 在 身边 ， 因 为 你 不 想 遗 失 或 被 盗 。 所 以 一 般 而 言 ， 你 只 
把 一 小 部 分 信息 一 一 一 小 部 分 钱 放 在 你 的 钱包 里 ， 而 把 你 大 部 分 钱 存在 
其 他 地 方 。 


比特 币 钱包 软件 


如 采 你 想 本 地 存放 比特 币 ， 一 般 都 会 使 用 比特 币 钱包 软件 ， 也 就 是 
一 个 管理 你 的 比特 币 和 私 钥 信息 并 让 你 方便 使 用 的 一 个 应 用 软件 。 例 如 
你 想 花 相当 于 4.25 美 元 的 比特 币 在 咖啡 馆 买 杯 咖 啡 ， 这 个 钱包 应 用 应 该 
很 容易 让 你 做 到 。 比 特 币 钱包 非常 有 用 ， 尤 其 是 你 需要 处 理 一 大 堆 地 址 
和 与 其 相关 的 密 钥 的 时 候 。 前 面 说 过 ， 制 定 一 对 公 钥 私 钥 很 容易 ， 你 可 
以 用 其 来 匿名 与 保护 你 的 个 人 隐私 。 钱 包 应 用 就 是 这 样 一 个 简单 的 接 
口 ， 告 诉 你 钱包 里 有 多 少 比 特 币 。 当 你 要 使 用 比特 币 的 时 候 ， 它 会 处 理 
关于 密 钥 管理 的 一 切 技术 细节 ， 比 如 使 用 密 钥 或 生成 新 的 地 址 等 。 


编码 解码 (encoding keys) : Base58 编 码 和 二 维 人 三 


要 使 用 或 是 接收 比特 币 ， 你 需要 与 对 方 交 换 地 址 一 一 比特 币 送 达 的 
地 址 。 目 前 有 两 种 主流 的 方式 将 地 址 加 密 : 一 种 是 字符 串 ， 另 一 种 是 


QR (Quick Response ) 码 


为 了 给 地 址 赋予 一 个 字符 串 ， 我 们 把 密 钥 的 字 节 从 二 进 制 字符 转换 
成 Base58 码 。Base58 就 是 用 一 个 包含 58 个 字符 的 字符 集 来 编码 ， 这 被 称 
为 base58 记 号 法 。 为 什么 是 58 个 字符 ?我 们 把 大 写 小 写字 母 都 算 上 ， 然 
后 去 掉 几 个 比较 容易 混淆 的 字母 ， 比 如 大 写 的 “O” 与 “0” 看 起 来 很 像 ， 就 
得 到 了 58 个 字符 。 我 们 可 以 将 加 密 的 地 址 读 出 来 ， 或 者 在 需要 时 也 能 够 
打印 出 来 。 理 想 情况 下 ， 最 好 能 避免 这 种 手工 的 方式 ， 而 是 采用 其 他 方 
法 ， 例 如 我 们 接 下 来 要 讨论 的 QR 人 码 。 


1A1zP1eP5QGefi2DMPTfTL5SLmv7ZDivfNa 
以 上 就 是 比特 币 创 世 块 地 址 的 Base58 代 码 。 


图 4. 1 QR 码 
注 : 一 个 QR 码 代 表 着 一 个 真实 的 比特 币 地 址 。 请 打上 面 的 QR 码 给 我 们 转账 一 些 比特 
币 O 


第 二 种 方法 是 用 QR 码 ， 一 种 简单 的 二 维 码 。 用 QR 码 的 好 处 是 你 可 
以 用 手机 担 张 照片 ， 然 后 钱包 应 用 会 把 QR 码 目 动 转换 成 代表 比特 币 地 
址 的 字 节 。 这 对 商店 十 分 有 用 : 比如 一 个 付 球 机 可 以 显示 一 个 QR 码 ， 
你 可 以 用 手机 扫描 一 下 ， 然 后 束 可 以 用 手机 把 比特 币 转账 到 付 球 地 址 。 


这 对 于 手机 与 手机 之 间 的 转账 也 很 有 用 。 


虚 采 地 址 


有 些 商 家 或 个 人 喜欢 将 地 址 转换 成 一 些 人 能 够 识别 的 字符 。 例 如 ， 
博彩 公司 网 站 中 本 聪 骨头 〈Satoshi Bones) 的 收 款 地 址 中 就 舍 有 “ 骨 
头 ”(bones) ， 如 下 所 示 的 2 一 6 位 字符 

(lbonesEeTcABPjLzAbl1VkFgySY6Zqu3sX) ， 当 然 所 有 的 地 址 都 是 1 
开头 的 ， 代 表 文 付 到 比特 币 地 址 的 标准 交易 或 者 说 是 标准 的 比特 币 转账 
流程 (pay-to-pubkey-hash) 。 


地 址 都 是 通过 哈 希 计算 产生 的 随机 字符 串 ， 那 么 如 何 才 能 获得 含 
有 “bones” 字 符 串 的 地 址 呢 ? 如 果 中 本 聪 骨头 只 是 随便 制定 它们 的 地 
址 ， 无 法 进行 逆 癌 计算 哈 希 函数 ， 它 们 无 法 得 到 相应 的 私 钥 ， 也 无 法 控 
制 地 址 的 生成 。 这 样 的 话 ， 它 们 只 能 不 停 地 重复 生成 私 铀 ， 直 到 私 钥 中 
包含 它们 希望 出 现 的 字符 串 。 这 样 的 地 址 被 称 为 虚荣 地 址 (vanity 
address) 。 这 种 地 址 事实 上 是 可 以 通过 工具 生成 的 。 


一 般 需 要 多 少 工作 量 能 得 到 这 样 的 结果 呢 ? 由 于 每 个 字符 位 有 58 种 
可 能 性 ， 如 果 你 想得到 一 个 字符 串 中 有 k 个 字 节 的 特殊 字符 ， 你 平均 需 
要 生成 58 的 k 次 方 次 地 址 ， 才 能 获得 你 要 的 结果 。 所 以 如 末 要 生 
成 “bones” 开 头 的 地 址 则 要 生成 超过 6 亿 个 地 址 ! 这 个 工作 现在 通过 一 台 


笔记 本 电脑 就 可 以 完成 。 但 是 你 每 增加 一 个 字符 ， 工 作 量 会 几何 级 数 增 
长 。 获 得 一 个 15 位 字符 的 地 址 需要 的 计算 量 难以 想象 ， 而 且 是 不 间断 的 
哈 希 计算 ， 这 是 无 法 实现 的 。 


虚荣 地 址 的 加 速生 成 


在 比特 币 世 界 ， 如 果 我 们 将 一 个 私 钥 称 为 x， 公 钥 是 g， 其 地 址 
是 H(g*)， 即 公 钥 的 哈 希 值 。 我 们 不 会 探讨 其 中 的 细节 。 但 是 明 过 指数 
运算 来 生成 地 址 显然 是 很 慢 的 。 


最 直接 的 方式 是 挑选 一 个 伪 随 机 序列 x， 计 算 H(g*)， 不 停 地 生成 
地 址 ， 直 到 得 到 想 要 的 结果 为 止 。 一 个 更 快 的 方式 是 ， 如 果 使 用 x 无 
法 得 到 想 要 的 结果 ， 接 下 来 就 使 用 x+1 来 计算 ， 如 此 反复 。 而 不 是 重 
新 挑选 一 个 x。 因 为 gx'* =g 芋 ， 而 我 们 已 经 计算 过 了 时， 所 以 我 们 只 
需要 做 乘法 运算 而 无 须 做 指数 运算 ， 这 会 更 快 。 事 实 上 ， 这 种 方式 比 
最 直接 的 方式 要 快 两 个 数量 级 以 上 。 
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站 的 二 维 码 。 一 一 译 者 注 


1. QR 码 是 一 种 


4.2 热 储存 与 冷 储存 


如 我 们 所 看 到 的 ， 把 比特 币 放 在 你 的 个 人 电脑 里 就 像 把 钱 放 在 钱包 
里 带 着 ， 这 叫 “ 热 储存 ”"。 这 很 方便 但 很 不 安全 。 而 妨 一 方面 ,，“ 冷 储 
存 ” 古 离线 的 ， 把 比特 币 锁 在 其 他 地 方 。 冷 储存 不 联 入 互联 网 ， 是 封存 
起 来 的 。 所 以 相对 安全 和 保险 ， 但 是 很 显然 不 方便 。 这 就 像 你 带 着 一 些 
零钱 出 去 ,但 是 把 终生 积蓄 锁 在 保险 箱 里 的 道理 一 样 。 


要 分 开 热 储存 和 冷 储存 ， 你 也 必须 要 用 不 同 的 私 钥 ， 否 则 如 果 热 储 
存 匀 Q 人 破坏 了 ， 冷 储存 也 会 处 于 危险 之 中 。 你 也 需要 把 币 在 两 边 转 来 转 
去 ， 这 样 两 边 都 需要 知道 对 方 的 地 址 或 公 钥 。 


因为 冷 储 存 是 离线 的 ， 所 以 热 储存 与 冷 储存 无 法 通过 网 络 相 连 ， 但 
其 实 冷 储存 不 需要 上 线 就 可 以 接收 比特 币 一 一 热 储存 端 知道 冷 储存 的 地 
址 ， 所 以 它 随 时 可 以 给 冷 储 存 转账 。 当 你 觉得 你 的 钱包 里 的 钱 太 多 的 时 
候 ， 你 可 以 把 一 部 分 的 币 转 到 冷 储存 ， 但 不 需要 让 冷 储 存 上 线 而 骏 露 目 
己 。 当 然 ， 只 要 冷 储 存 上 线 ， 就 可 以 接收 到 区 块 链 的 转账 信息 ， 然 后 可 
以 随意 处 理 这 些 比特 币 。 


但 管理 冷 储存 有 一 个 小 问题 : 一 方面 ， 为 了 私密 性 和 其 他 考虑 ， 我 
们 希望 使 用 不 同 的 地 址 (这 些 地 址 有 不 同 的 密 钥 〉 收 藉 。 所 以 我 们 把 比 
特 币 从 热 储 存 转 到 冷 储存 的 时 候 ， 要 用 一 个 新 的 冷 储 存 地 址 。 但 是 由 于 
冷 储存 不 上 线 ， 所 以 热 存储 端 必须 要 能 找到 这 样 的 地 址 。 


一 个 直接 的 解决 方案 是 让 冷 储存 一 次 性 生成 一 批 地 址 ， 然 后 把 地 址 
列表 发 送 给 热 储 存 ， 热 储存 可 以 依次 使 用 这 些 地 址 ， 当 然 ， 这 个 方法 的 
缺陷 是 为 了 传送 地 址 ， 我 们 不 得 不 经 常 让 冷 储存 端 上 线 。 


分 层 确定 性 钱包 


一 个 比较 有 效 的 解决 办 法 是 使 用 一 个 分 层 确 定性 钱包 (hierarchical 
deterministic ”wallet) 。 这 个 方法 可 以 让 冷 储 存 端 制造 无 限制 的 地 址 数 
量 ， 然 后 通过 一 个 短暂 的 、 一 次 性 的 交换 ， 让 热 储 存 端 知晓 所 有 地 址 。 
但 这 需要 使 用 密码 学 的 技巧 。 


回想 一 下 ， 我 们 在 第 1 章 谈 到 密 钥 生 成 和 电子 签名 时 ， 我 们 使 用 
了 “generateKeys” 来 生成 一 个 公 钥 〈 也 就 是 地 址 ) 和 一 个 私 铀 。 在 分 层 
确定 性 钱包 里 ， 生 成 密 钥 的 方式 不 太一 样 。 不 同 于 生成 一 个 单一 地 址 ， 
我 们 生成 一 个 被 称 为 “地 址 生成 信息 ”的 东西 ， 我们 也 不 只 生成 私 钥 ， 而 
是 生成 “ 私 钥 生 成 信息 ”。 有 了 地 址 生成 信息 ， 我 们 就 可 以 生成 一 系列 地 
址 。 我 们 把 地 址 生成 信息 和 一 个 整数 ij 作为 地 址 生成 函数 的 输入 参数 ， 
就 生成 了 序列 里 的 第 i 企 地 址 。 同 样 ， 我 们 用 私 钥 生成 信息 来 生成 一 系 
列 私 钥 。 


密码 学 的 神奇 之 处 在 于 : 对 于 每 个 而 言 ， 第 i 个 地 址 和 第 个 私 钥 相 
匹配 一 一 换言之 ， 第 i 个 私 钥 控制 第 i 个 地 址 的 比特 币 ， 就 好 像 这 是 用 经 
典 办 法 产生 的 。 这 样 一 来 ， 我 们 束 有 一 长 串 配 对 的 公 钥 和 密 钼 。 


密码 学 的 另 一 个 技术 优点 是 安全 性 一 一 地 址 生成 信息 并 不 会 泄露 关 
于 私 钥 本 号 的 任何 信息 。 这 意味 着 你 可 以 放心 地 把 地 址 生成 信息 给 任何 
人 ， 他 束 可 以 用 它 来 生成 第 个 密 钥 。 


A 
特 币 使 用 的 电子 签名 算法 ECDSA 文 持 分 层 密 铀 ， 让 我 们 可 以 使 用 这 个 
技巧 。 即 冷 储存 端 生 成 任意 多 个 密 钥 ， a 山 生 成 相应 的 地 址 ， 见 图 
2 


热 储存 端 


2generateKeysHier 


冷 储存 端 


图 4. 2 分 层 确 定性 钱包 示意 
注 : 冷 储 存 端 生成 和 保存 私 钥 生 成 信息 和 地 址 生成 信息 ， 然 后 将 地 址 生成 信息 一 次 
性 转 给 热 储存 端 。 当 热 储 存 端 要 给 冷 储存 端 转 账 时 ， 就 按 次 序 生 成 新 的 地 址 。 冷 储 
存 端 上 线 后 ， 也 会 按 顺 序 生 成 地 址 ， 然 后 查收 相应 地 址 收 到 的 款项 ， 直 到 某 一 地 址 
没有 收 款 位 置 。 如 果 冷 储存 端 需要 向 热 储 存 端 转账 ， 它 就 会 按 顺 序 生 成 私 钥 序 列 。 


ECDSA 的 工作 机 制 如 下 : 通常 一 个 ECDSA 私 钥 是 一 个 随机 数 x， 其 
对 应 的 公 钥 是 x。 为 了 生成 分 层 确定 性 密 钥 ， 我 们 需要 另外 两 个 随机 数 
k 和 y。 


私 钥 生成 信息 :kx,y 

第 i 个 私 钥 :x=y+H(k | 站 
地 址 生成 信息 :k, gY 

第 个 公 铀 : g*i=gt (上 。 gy 


第 i 个 地 址 :H (gxi) 


分 层 确 定性 钱包 有 我 们 需要 的 所 有 特性 : 两 方 都 可 以 生成 公 钥 / 私 
钥 序 列 ， 而 且 这 些 公 钥 / 私 钥 相互 配对 《因为 与 私 钥 x 对 应 的 公 钥 就 是 
祭 ) 。 而 且 ， 这 种 方法 还 具有 另外 一 种 我 们 尚未 提 及 的 特性 : 当 你 癌 外 
提供 这 些 公 钥 时 ， 这 些 公 钥 之 间 没 有 联系 ， 也 就 是 说 ， 别 人 无 法 断定 这 


些 公 钥 来 目 同一 个 钱包 。 稻 草 人 方案 〈 冷 储存 端 生成 大 量 的 地 址 ) 也 有 具 
有 这 种 特性 ， 但 我 们 需要 小 心地 保护 这 些 地 址 ， 因 为 这 些 地 址 事实 上 并 
不 是 独立 生成 的 。 这 种 特性 对 于 保护 隐私 和 实现 匿名 是 至 关 重 要 的 ， 我 
们 将 在 第 6 章 展 开 讨论 。 


分 层 确 定性 钱包 有 两 种 不 同 的 安全 性 ， 热 储存 端的 安全 性 较 低 。 如 
果 热 储存 受到 损害 ， 那 么 上 文 提 到 的 非 相 关 性 就 不 复 存在 ， 但 这 种 情况 
下 ， 私 钥 ( 以 及 比特 币 ) 仍然 是 安全 的 。 通 常 ， 分 层 确 定性 钱包 文 持 任 
意 多 个 安全 等 级 一 一 这 也 是 “分 层 ” 的 由 来 一 一 虽然， 我 们 还 没有 讨论 细 
方 。 这 种 安排 非 第 有 用 ， 例 如 ， 当 一 家 公司 内 部 存在 多 种 授权 级 别 时 ， 


就 需要 这 种 特性 。 


现在 ， 我 们 讨论 一 下 冷 储存 如 何 保存 信息 〈 私 钥 或 私 钥 生 成 信 
恩 ) 。 第 一 种 方式 是 将 信息 保存 在 茶 个 设备 〈 例 如 笔记 本 电脑 、 手 机 或 
平板 电脑 ， 或 U 盘 ) 中 ， 然 后 将 这 个 设备 好 好 保管 ， 最 好 是 让 这 些 设备 
上 条 开 网 络 ， 并 将 其 锁 起 来 ， 这 样 ， 如 果 有 人 想 盗 取信 息 ， 那 么 他 首先 需 
要 进入 这 些 设备 的 保存 处 。 


大 脑 钱包 


第 二 种 方法 我 们 称 之 为 大 脑 钱 包 (brain walle) 。 这 种 方式 下 ， 你 
通过 一 个 密码 就 可 以 支取 比特 币 。 大 脑 钱包 无 须 使 用 人 硬件、 纸张 或 者 其 
他 长 期 储存 介质 。 大 脑 钱 包 在 物理 安全 性 较 差 的 情况 下 (例如 跨国 出 
甜 、 旅 行 时 ) 非常 有 用 。 


大 脑 钱包 的 主要 原理 是 用 一 个 可 预测 的 算法 把 一 个 口令 变 成 一 对 公 
钥 / 私 钥 。 例 如 ， 你 可 以 选择 一 个 哈 希 算法 将 口令 转译 成 一 个 私 铀 。 在 
给 定 私 钥 的 情况 下 ， 可 以 用 同样 的 方法 得 到 私 钥 。 进 一 步 地 ， 结 合 前 文 
所 提 到 的 分 层 确 定性 钱包 技术 ， 你 可 以 根据 口令 生成 一 整套 地 址 和 私 


钥 ， 从 而 实现 钱包 的 完整 功能 。 


但 是 ， 如 果 一 个 黑客 猜 到 你 的 口令 的 话 ， 他 还 是 可 以 偷 走 你 大 脑 钱 
包 里 的 所 有 私 钥 。 在 电脑 安全 领域 里 ， 我 们 通常 假定 黑客 知道 你 生成 密 
钥 的 步骤 ， 黑 客 不 知道 的 只 是 你 的 口令 。 所 以 黑客 可 以 党 试 使 用 不 同 的 
口令 ， 生 成 地 址 ， 并 在 区 块 链 中 碍 看 这 些 地 址 上 是 否 还 存在 未 被 使 用 的 
比特 币 ， 一 旦 发 现 比特 币 ， 黑 客 就 可 以 迅速 把 这 些 比特 币 转 给 目 己 。 黑 
客 可 能 永远 都 不 知道 《或 者 根本 不 关心 ) 这 些 比特 币 属于 谁 ， 这 类 攻击 
也 不 需要 入 侵 任何 设备 ， 猜 口令 不 针对 任何 人 ， 所 以 也 不 会 留 下 任何 银 


这 种 方法 与 尝试 破解 电子 邮箱 密码 的 方法 不 同 ， 邮 件 服务 器 通常 对 
密码 试 错 有 一 定 的 次 数 或 频率 限制 (被 称 为 在 线 猜测 )， 但 是 对 于 大 脑 
钱包 而 言 ， 黑 客 可 以 下 载 一 堆 未 被 使 用 的 比特 币 的 地 址 ， 然 后 用 电脑 程 
序 去 慢 慢 地 试 错 ， 黑 客 都 不 需要 知道 大 脑 钱 包 的 地 址 ， 这 被 称 为 离线 猜 
测 或 者 密码 破解 。 相 应 地 ， 设 置 口令 的 难度 大 大 增加 了 ， 又 要 容易 记 ， 
又 要 不 容易 被 猜 中 。 一 种 安全 的 方法 是 使 用 目 动 程序 生成 一 个 80 位 的 数 
字 ， 然 后 将 其 转换 成 口令 。 


生成 一 个 可 记忆 的 口令 


有 一 种 简便 的 方法 可 以 生成 口令 : 从 最 常用 的 10 ”000 英 语词 汇 
中 ， 随 机 选择 6 个 词 ， 从 而 生成 大 致 80 位 长 度 的 字 节 [6xlog2(10 000) 大 
致 等 于 80]。 很 多 人 发 现 这 个 方法 比 随机 取 字 母 容易 记忆 ， 因 为 这 种 
方法 生成 的 口令 通常 是 下 面 这 样子 的 : 


worn til] alloy focusing okay reducing 


earth dutch fake tired dot occasions 


在 实际 操作 中 ， 我 们 可 以 让 程序 生成 密 钥 的 速度 变 慢 〈 为 程序 加 入 
一 个 延迟 ) ， 这 样 ， 黑 客 通 过 试 错 法 来 破解 私 钥 就 需要 花费 很 长 的 时 
间 ， 这 就 是 所 谓 的 密 钥 延展 (key stretching) 。 比 如 ， 为 了 使 密 钥 生 成 
变 慢 ， 我 们 可 以 让 程序 把 本 来 很 容易 计算 的 哈 希 函数 SHA-256 算 上 2” 
次 ， 这 样 一 来 就 把 黑客 的 工作 量 增加 了 2%4 倍 。 当 然 ， 如 果 太 慢 的 话 ， 
用 户 在 使 用 比特 币 的 时 候 ， 也 会 计算 得 很 慢 ， 这 也 很 嘛 上 烦 。 


如 果 你 彻底 忘记 了 大 脑 钱 包 的 口令 ， 钱 包 里 的 比特 币 就 永远 取 不 出 
滋 由 


纸钱 包 


第 三 个 选择 是 纸钱 包 《〈 见 图 4.3) : 把 密 钥 印 在 纸 上 ， 然 后 把 纸 锁 
在 保险 箱 里 。 显 然 ， 这 种 方式 的 安全 程度 取决 于 我 们 所 使 用 的 纸 的 安全 
程度 。 纸 钱包 通常 用 两 种 方法 为 公私 钥 是 编码 ， 二 维 码 和 base58 码 。 就 
像 大 脑 钱 包 一 样 ， 只 需要 存储 少量 关键 信息 ， 就 可 以 重新 建立 一 个 纸钱 
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图 4. 3 带 公 角 的 比特 币 纸 钱包 


注 : 同时 使 用 了 二 维 码 和 base58 码 加 密 。 


防 损 硬件 


第 四 种 方法 是 使 用 防 损 硬件 (tamper-resistant device) ， 用 它 来 保 
存 密 钥 或 用 它 来 生成 密 钥 ， 总 之 ， 此 类 设备 本 身 不 会 泄露 密 钥 或 输出 密 
钥 ， 而 只 是 在 我 们 按 下 设备 的 某 个 按钮 或 输入 设备 密码 后 显示 密 钥 的 保 
管状 态 。 防 损人 硬件 的 好 处 在 于 一 旦 设备 丢失 或 者 被 盗 ， 我们 马上 就 能 知 
道 。 而 且 ， 想 要 盗 走 密 钥 ， 必 须 先 盗 走 这 个 设备 。 这 和 将 密 钥 保存 在 电 
脑 上 是 不 一 样 的 。 


总 而 言 之 ， 用 户 可 使 用 上 述 一 个 或 是 多 个 方法 来 保存 密 钥 。 对 于 热 
储存 ， 尤 其 是 存 有 大 量 比特 币 的 热 储存 而 言 ， 人 们 愿意 投入 大 量 成 本 或 
先进 的 安全 机 制 保护 它们 。 我 们 将 在 下 一 章 讨 论 这 些 更 先进 的 机 制 。 


现在 我 们 了 解 了 各 种 保存 密 钥 的 方法 ， 但 在 这 些 方 法 里 ， 我 们 总 是 
把 密 钥 保存 在 一 个 地 方 : 要 么 锁 在 保险 箱 ， 要 么 保存 在 软件 中 或 打印 在 
纸 上 。 这 会 造成 一 个 问题 ， 一 毁 俱 毁 。 当 然 ， 我 们 可 以 为 密 钥 建立 备 
份 ， 这 可 以 降低 密 钥 丢失 或 损坏 的 风险 (可 获取 性 ) ， 但 同时 会 增加 密 
钥 被 盗 的 风险 《安全 性 ) 。 那 是 否 存在 一 种 方法 ， 可 以 使 密 钥 的 可 获取 
性 和 安全 性 都 得 到 提高 ? 答案 是 肯定 的 。 窗 码 学 上 有 一 种 称 为 “ 密 钥 分 
存 ” 的 搁 术 ， 就 可 以 做 到 这 一 点 。 


方法 如 下 : 密 钥 被 分 成 N 个 片段 ， 只 要 我 们 获得 其 中 的 K 个 片段 ， 
束 可 以 把 原 密 钥 重 新 还 原 。 但 如 末 获 得 的 片段 数量 少 于 K， 束 无 法 知道 
关于 密 钥 的 任何 信息 。 


要 实现 上 述 效 末 ， 把 密 钥 简单 地 切 分 成 右 干 片段 古 不 行 的 ， 这 样 的 
话 ， 每 一 个 片段 都 会 透露 密 钥 的 部 分 信息 。 三 所 以 ， 密 钥 分 存 并 不 是 简 
单 地 切 分 密 钥 ， 而 是 将 密 钥 转换 成 硝 干 “ 子 密 钥 ”。 


举 个 例子 ， 我 们 设 定 N=2，K=2， 意 味 着 我 们 把 想 要 加 密 的 密 钥 
( 原 密 钥 ) 转换 成 两 个 子 密 钥 ， 只 有 同时 获得 这 两 个 子 密 钥 才 能 拼 出 原 
密 钥 。 我 们 把 原 密 钥 称 为 S$，S 是 一 个 很 大 的 数字 (比如 128 位 〉。 然 
后 ， 我 们 可 以 随机 产生 男 一 个 128 位 的 数字 R， 让 R 作 为 其 中 的 一 个 子 密 
钥 ， 那 么 另外 一 个 子 密 钥 就 是 S@R( 旬 代表 逻辑 算 符 互 斥 ，exclusive 
OR， 或 缩写 成 XYOR， 也 叫 异 或 )》， 我 们 把 S@R 称 为 “ 密 文 "。 然 后 ， 我 
们 把 子 密 铀 R 和 蜜 文 S@R 保 存在 两 个 不 同 的 地 方 。 单 独 根据 子 密 钥 R 或 
密 文 都 无 法 知晓 原来 密 钥 的 任何 信息 ， 但 如 果 我 们 同时 得 到 R 和 S@R， 
我 们 可 以 通过 异 或 逻辑 运算 得 到 原来 的 密 钥 。 三 


N 和 K 相 等 时 ， 我 们 总 是 可 以 这 样 做 : 对 于 之 前 的 K-1 个 子 密 铀 ， 我 
们 可 以 生成 N-1 不 同 的 随机 数 ， 最 后 一 个 子 密 钥 束 是 原 密 钥 与 折 有 其 他 
N-1 个 子 密 钥 的 异 或 。 但 如 果 N 大 于 K 的 话 ， 这 个 技巧 就 行 不 通 了 。 我 们 
需要 借助 其 他 代数 方法 。 


图 4.4 中 ， 我 们 是 如 何 生成 子 密 钥 的 呢 ? 首先 ， 我 们 把 $ 标 记 在 Y 轴 
上 (0，S) ， 然 后 经 过 该 点 画 一 条 直线 ， 和 斜率 随机 ， 接 下 来 ， 我 们 就 可 
以 在 这 条 线 上 挑 一 些 点 ， 要 多 少 有 多 少 。 这 样 ， 我 们 就 得 到 N 个 子 密 
钥 ， 并 且 K=2。 
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图 4. 4 帘 钥 分 存 的 几何 示例 (N=2) 
注 : S 代 表 原 密 钥 ， 被 编码 成 一 个 大 的 整数 ， 图 中 斜 线 的 斜率 随机 。 斜 线 上 的 点 ( 主 
要 是 它们 的 Y 坐 标 SHR，S+2R，…) 代表 子 密 钥 。 连 接任 何 两 个 点 ， 都 可 以 得 到 S[ 两 
点 连 线 ， 延 长 ， 与 Y 轴 的 交点 就 是 S ( 黑 点 ) ] 。 若 是 只 有 一 个 点 ， 又 无 法 确定 斜率 
(斜率 随机 ) ， 就 无 法 得 到 S。 


为 什么 我 们 得 到 两 个 点 就 可 以 还 原 原 密 钥 呢 ? 首先 ， 连 接 两 个 点 可 
以 得 到 一 条 直线 ， 这 条 直线 和 Y 轴 的 交点 就 是 Ss。 然 而 ， 如 果 只 有 一 个 
点 ， 将 得 不 到 任何 信息 ， 由 于 直线 斜率 是 随机 的 ， 所 以 ， 通 过 该 点 的 任 
何 直线 都 有 可 能 是 我 们 生成 子 密 钥 所 采用 的 那 条 直线 ， 但 所 有 直线 和 Y 
轴 的 交点 都 不 同 。 

上 述 方 法 中 ， 有 一 点 很 精妙 : 要 让 这 个 方法 在 数学 上 行 得 通 ， 我 们 
需要 找 一 个 足够 大 的 素数 P 取 模 。P 不 需要 和 原 密 钥 有 任何 关系 ， 只 需要 
足够 大 就 可 以 。S 的 值 在 0 和 P-1 之 间 《〈 含 0 和 P-1) 。 上 文中 ， 我 们 说 通 
过 S 男 直线 并 在 直线 上 挑选 一 些 点 ， 实 际 操 作 时 ， 我 们 其 实 是 生成 一 个 
介 于 0 到 P-1 的 随机 数 R， 并 生成 下 列 点 : 


x=1, y=(S+R)mod P 
x=2, y= (S+2R) mod P 
x=3, y= (S+3R) mod P 


原 密 钥 对 应 的 坐标 为 x=0，y=(S+0xR) modP， 其 实 就 x=0，y=S。 


上 述 方法 在 K=2，N 为 任意 数字 的 情况 下 都 有 效 ， 例 如 ， 如 宋 
N=4， 就 是 生成 4 个 子 密 钥 ， 并 保存 在 4 个 不 同 的 设备 里 。 万 一 有 人 偷 了 
其 中 的 一 个 ， 他 对 密 钥 仍 一 无 所 知 。 即 使 丢 了 两 个 子 密 钥 ， 你 也 仍然 可 
以 通过 为 外 两 个 子 密 钥 来 得 到 原 密 钥 。 


上 述 方 法 可 以 进一步 扩展 : 我 们 可 以 用 任何 的 K 和 N (只 要 保证 
K<N) 来 实现 密 钥 分 存 。 在 图 4.4 中 我 们 用 一 条 直线 进行 密 钥 分 存 ， 在 
代数 中 ， 直 线束 是 自由 度 为 1 的 多 项 式 。 如 果 K=3， 我 们 束 要 用 抛物 线 
来 实现 ， 抛 物 线 是 自由 度 为 2 的 多 项 式 。 我 们 可 以 用 表 4.1 中 所 示 公 式 来 
表达 这 一 递 进 系列 。 


表 4.1 密 钥 分 存 的 数学 原理 


还 原 原 密 钥 所 需 


公式 自由 度 形状 随机 参数 的 子 密 钥 数量 
(CS+RX) modP 1 “直线 RR 2 
(S+RIX+R,X’) modP 2 二 次 曲线 R,, R, 3 
(S+RIX+RX +RiX ) modP 3 三 次 曲线 ”BR ，R,，R; 4 


注意 ， 如 果 使 用 自由 上 度 为 k-1 的 曲线 上 的 耕 干 点 来 进行 密 钥 分 存 ， 
那么 ， 为 了 还 原 原 密 钥 ， 人 至 少 需要 得 到 K 个 点 的 数据 。 


数学 上 ， 拉 格 明 日 公式 表明 ， 如 果 要 回归 一 条 自由 度 为 k-1 的 曲 
线 ， 需 要 获得 至 少 K 个 点 。 最 简单 的 例子 就 是 ， 用 尺子 连接 两 个 点 ， 就 
可 以 得 到 一 条 直线 。 因 此 ， 如 果 我 们 将 原 密 钥 转 换 成 N 个 子 密 钥 ， 除 非 
黑客 获得 了 K-1 个 子 密 钥 ， 人 否则 原 密 钥 就 是 安全 的 ， 换 个 说 法 ， 我 们 最 
多 可 以 承受 N-K 个 子 密 钥 被 泄露 。 


当然 ， 密 钥 分 存 并 不 是 比特 币 的 专用 技术 。 你 可 以 将 你 的 密码 进行 
密 钥 分 存 ， 然 后 把 子 密 钥 告诉 你 的 朋友 ， 或 把 它们 放 在 不 同 的 地 方 。 但 
是 ， 实 际 上 并 不 会 有 人 真 的 这 么 做 。 一 方面 这 么 做 不 太 方便 ， 另 一 方 
面 ， 目 前 市 场 上 也 有 其 他 的 安全 机 制 ， 例 如 使 用 短信 进行 双重 验证 。 但 
对 于 比特 币 而 言 ， 如 果 你 选择 本 地 保存 密 钥 ， 那 么 双重 验证 等 安全 机 制 
就 不 适用 了 ， 我 们 无 法 通过 短信 和 验证 码 的 方式 来 控制 比特 币 账 户 。 当 
然 ， 在 线 钱包 则 不 同 ， 我 们 会 在 下 一 市 讨论 。 不 过 ， 在 线 钱包 和 本 地 储 
存 的 区 别 不 大 ， 类 似 的 问题 总 是 存在 ， 只 不 过 换 了 一 种 方式 。 毕 况 ， 在 
线 钱 包 的 服务 商 在 保存 密 钥 的 时 候 也 不 能 只 使 用 一 种 安全 措施 。 


门限 密码 (threshold cryptography) 


密 钥 分 存 还 是 有 一 个 问题 : 密 钥 分 存 之 后 ， 如 果 我 们 后 面 要 用 原 冤 
钥 来 签名 ， 那 就 需要 取得 子 密 钥 ， 还 原 成 原 密 钥 ， 然 后 才能 签名 。 这 个 
过 程 有 可 能 被 黑客 乘虚 而 入 ， 盗 取 窗 铀 。 


密码 学 可 以 解决 这 个 问题 。 如 果子 密 钥 储存 在 不 同 的 设备 中 ， 可 以 
以 去 中 心 化 的 方式 还 原 原 密 钥 ， 而 不 是 在 某 台 设备 上 完成 。 这 种 技术 
叫 “ 门 限 签名 ”(threshold signature) 技术 。 典 型 的 例子 就 是 使 用 双重 安 
全 机 制 的 电子 钱包 (N=2 且 K=2〉， 如 果 两 个 子 密 钥 分 别 保存 在 个 人 电 
脑 和 手机 上 ， 你 可 以 在 电脑 上 发 起 付 蒜 ， 这 时 ， 电 脑 会 生成 一 个 签名 片 
段 ， 并 发 送 到 你 的 手机 上 ， 然 后 ， 手 机 会 提示 你 付 球 信息 (包括 收 蒜 
人 、 人 金额 等 ) ， 然 后 等 待 你 确认 。 如 果 你 确认 了 付款 信息 ， 这 时 ， 手 机 
会 利用 它 的 子 密 钥 完成 整个 签名 ， 然 后 广播 到 区 块 链 上 。 万 一 黑客 控制 
了 你 的 电脑 ， 试 图 把 比特 币 转 到 他 的 账户 ， 你 根据 手机 上 的 付款 信息 就 
知道 有 问题 了 ， 从 而 不 会 确认 这 笔 区 易 。 门 限 密码 涉及 的 数学 细节 比较 
复杂 ， 此 处 我 们 不 展开 讨论 。 


门限 签名 


门限 签名 是 密码 学 中 的 一 项 技术 ， 将 一 个 密 钥 切 分 成 不 同 片 段 ， 
分 别 储 存 ， 在 交易 签名 时 无 须 还 原 原 密 钥 。 而 多 重 签 名 是 比特 币 脚 本 
的 特性 ， 把 一 个 比特 币 账 户 的 控制 权 交 给 多 个 密 钥 ， 这 些 密 钥 共同 保 
隐 账 户 安全 。 门 限 签名 和 多 重 签名 都 能 死 服 密 钥 单 点 保存 的 缺陷 。 


还 有 另外 一 种 方法 可 以 元 服 密 钥 单 点 保存 的 缺陷 ， 即 多 重 签名 
Cmultisignatures) ， 这 个 名 词 在 第 3 章 曾 出 现 过 。 通 过 比特 币 脚 本 ， 可 
以 直接 把 一 个 比特 币 账户 的 控制 权 交 给 多 个 密 钥 ， 而 不 是 将 密 钥 分 存 。 
这 些 密 钥 可 以 保存 在 不 同 的 地 点 ， 并 分 别 生 成 签名 。 当 然 ， 最 终 完 成 的 
交易 的 信息 还 是 会 保存 在 某 台 设备 上 ， 但 即使 黑客 控制 了 这 人 台 设 备 ， 他 


所 能 做 的 也 只 不 过 阻止 这 个 交易 被 广播 到 整个 网 络 上 去 。 没 有 其 他 设备 
参与 ， 他 无 法 生成 出 一 个 正当 有 效 的 多 重 签名 。 


举例 来 说 ， 假 设 本 书 的 作者 安德鲁 〈Andrew) 、 阿 尔 文 德 
(CArvind) 、 爱 德 华 (Ed) 、 约 什 (Joseph) 和 史 带 文 (Steven) 是 一 
家 公司 的 创始 人 一 一 也 许 我 们 就 是 依靠 出 售 这 本 书 的 版 权 来 创建 公司 
一 一 那 这 家 公司 就 有 许多 的 比特 币 了 。 我 们 可 能 会 用 多 重 签名 来 保护 这 
些 比特 币 。 我 们 5 个 人 ， 每 人 都 有 一 对 密 钥 ， 我 们 可 以 用 其 中 的 3 个 签名 
来 保护 冷 储存 一 一 一 笔 交 易 需 要 5 个 人 中 至少 3 个 人 的 签名 才能 完成 。 


这 样 ， 只 要 我 们 5 个 人 在 不 同 地 方 且 使 用 不 同 的 安全 措施 保存 各 目 
的 密 钥 ， 那 么 比特 币 就 会 相当 安全 。 黑 客 必 须 盗 取 我 们 当中 3 个 人 的 密 
钥 ， 才 能 盗 取 比特 币 。 即 便 我 们 其 中 一 个 或 两 个 背弃 了 我 们 ， 他 ( 们 ) 
也 无 法 卷 款 而 逃 ， 因 为 他 们 还 需要 另 一 个 签名 。 三 同时 ， 如 果 我 们 其 中 
一 个 遗失 了 密 钥 ， 其 他 人 还 是 可 以 取出 比特 币 ， 并 转 到 新 的 账户 ， 重 新 
设置 密码 。 总 而 言 之 ， 多 重 签名 可 以 比较 妥善 地 管理 在 冷 储 存 端的 大 额 
比特 币 ， 任 何 重 大 事项 都 需要 多 人 的 参与 才能 实现 。 


上 文中 ， 我 们 说 到 ， 人 们 使 用 门限 签名 技术 的 原因 是 为 了 实现 双重 
安全 机 制 或 多 重 安 全 机 制 ， 使 用 多 重 签 名 技术 的 原因 是 为 了 实现 多 人 对 
共同 财产 实现 共同 控制 。 实 际 上 ， 这 两 种 技术 都 可 以 实现 上 述 两 种 目 
的 。 


1. 《 鹿 易 记 》 里 的 藏 宝 图 储存 方法 在 现实 中 是 不 可 取 的 ， 因 为 不 需要 搜集 齐 八 旗手 中 
的 碎片 ， 只 需要 有 几 旗 的 就 可 以 猜 出 整个 藏 宝 图 。 译 者 注 

2. 在 密码 学 中 ， 上 文 的 “ 原 密 钥 * 通 常 称 为 “明文 "，“R” 称 为 “ 密 钥 ”"，S @R 称 为 “ 密 文 ”。 

一 一 译 者 注 
用 这 个 方法 倒是 可 以 防止 银行 工作 人 员 卷 款 而 逃 ， 可 见 科 技 的 进步 确实 可 以 改善 传 

统 行业 的 一 些 薄 弱 环 节 。 一 一 译 者 注 


4.4 在 线 钱 包 和 交易 所 


我 们 已 经 讨论 了 自己 储存 和 管理 比特 币 的 不 同方 法 。 下 面 ， 我 们 将 
讨论 如 何 通过 他 人 提供 的 服务 实现 上 述 目 的 。 最 直接 的 方法 是 使 用 在 线 
钱包 。 


在 线 钱 包 


在 线 钱 包 和 随身 带 的 钱包 一 样 ， 只 是 在 线 钱 包 的 信息 储存 在 云端 ， 
你 可 以 通过 网 页 或 手机 应 用 来 读 取 。2015 年 年 初 ， 比 较 流行 的 在 线 钱包 
服务 是 比特 币 基地 公司 (Coinbase ) 和 区 块 链 信息 公司 
(blockchain.info) 。 


从 安全 性 的 角度 考虑 ， 最 关键 之 处 在 于 网 站 不 仅 在 你 的 浏览 器 或 手 
机 应 用 软件 〈APP) 上 运行 代码 ， 而 且 ， 网 站 还 储存 着 你 的 密 钥 。 人 至 
少 ， 网 站 是 能 够 接触 到 你 的 密 钥 的 。 通 常情 况 下 ， 网 站 使 用 密码 来 保护 
密 钥 ， 而 密码 只 有 你 一 个 人 知道 。 当 然 ， 你 需要 信任 这 个 网 站 ， 相 信 它 
不 会 泄露 你 的 密 钥 或 是 密码 。 


在 线 钱 包 的 一 大 优点 是 方便 。 你 不 需要 在 电脑 上 安装 任何 软件 就 可 
以 使 用 在 线 钱包 ;在 手机 上 ， 你 只 需 安 效 一 个 手机 软件 就 可 以 使 用 钱 
包 ， 而 且 ， 不 需要 下 载 区 块 链 。 在 线 钱包 可 以 在 各 种 设备 上 使 用 : 无 论 
是 个 人 电脑 还 是 手机 ， 因 为 真正 的 钱包 信息 储存 在 云 并 。 


但 是 ， 在 线 钱包 也 有 安全 隐患 。 如 果 网 站 或 者 是 网 站 工作 人 员 有 亚 
意 ， 那 么 在 线 钱包 中 的 比特 币 就 有 和 危险。 在 线 钱包 的 服务 器 运行 者 所 有 


的 代码 ， 很 容易 伪 取 你 的 比特 币 ， 在 线 钱包 服务 提供 商 如 有 恶意 ， 情 况 
就 不 妙 了 。 

通常 情况 下 ， 网 站 或 者 服务 提供 商 由 训练 有 素 的 网 络 安全 专家 运 
行 。 他 们 比 我 们 更 专业 ， 所 以 我 们 会 认为 他 们 大 我 们 保管 比特 币 会 更 安 
全 。 但 归根 结 底 ， 前 提 是 专家 们 不 会 故意 搞 破 坏 。 


比特 币 交易 所 


要 想 理 解 比特 币 交 易 所 ， 我 们 先 要 讨论 一 下 传统 的 银行 是 如 何 运作 
的 。 你 给 银行 一 笔 钱 一 一 做 一 笔 存 球 ， 银 行 日 后 会 按照 你 的 要 求 把 钱 还 
给 你 。 当 然 ， 银 行 并 不 会 把 你 的 钱 一 直 锁 在 保险 柜 里 ， 银 行 只 是 答应 ， 
当 你 提 球 的 时 候 把 钱 给 你 ， 在 这 期 间 ， 银 行 通 第 会 把 钱 用 于 投资 。 许 多 
银行 会 保留 一 部 分 钱 作为 储备 金 ， 保 证 人 们 来 提 球 的 时 候 ， 有 旦 够 的 现 
金 。 很 多 银行 通常 按 存 球 的 固定 比例 来 留存 储备 金 。 


现在 来 谈 比特 币 交 易 所 。 至 少 在 用 户 使 用 的 角度 看 ， 比 特 币 交易 所 
和 银行 很 像 。 交 易 所 可 以 办 理 比 特 币 存 球 ， 日 后 需要 用 钱 的 时 候 ， 可 以 
到 交易 所 提 球 。 你 还 可 以 把 法 定货 币 〈 法 币 ) 一 一 例如 美元 、 欧 元 等 存 
到 比特 币 交 易 所 ， 区 易 所 承 话 日 后 会 按照 你 的 要 求 把 钱 一 一 比特 币 或 法 
币 ， 或 两 者 都 有 一 一 还 给 你 。 也 可 以 通过 交易 所 办 理 类 银行 业务 ， 例 
如 ， 用 比特 币 付 球 或 收 藉 。 还 可 以 通过 交易 所 把 比特 币 哆 换 成 法 币 ， 或 
把 法 币 竞 换 成 比特 币 ， 交 易 所 在 该 业务 中 通常 起 撮合 作用 ， 它 们 同时 寻 
找 愿 意 兑 换 法 定货 币 和 愿意 兑换 比特 币 的 人 ， 并 安排 他 们 作为 交易 对 
手 ， 如 果 交 易 对 手 对 于 汇率 达成 一 臻 意见， 交易 所 就 促成 这 笔 交 易 。 


举 个 例子 ， 假 设 你 在 茶 交 易 所 的 账号 里 有 5 000 美 元 和 3 个 比特 币 。 
你 想 用 580 美 元 /比特 币 的 价格 买 两 个 比特 币 ， 这 时 交易 所 帮 你 找到 交易 
对 手 并 促成 交易 。 现 在 ， 你 的 账号 里 有 5 个 比特 币 和 3 840 美 元 。 


值得 注意 的 是 ， 当 你 在 交易 所 完成 上 述 交 易 的 时 候 ， 区 块 链 上 并 不 
会 记录 任何 交易 。 交 易 所 不 需要 在 区 块 链 里 把 比特 币 从 一 个 地 址 转 到 另 
一 个 地 址 。 交 易 所 只 是 修改 了 和 你 的 合约 ， 交 易 前 ， 它 说 “我 们 日 后 会 
还 给 你 5 000 美 元 和 3 个 比特 币 。” 交 易 完 成 后 ， 它 说 “我 们 日 后 会 还 给 你 3 
840 美 元 和 5 个 比特 币 。” 所 以 ， 交 易 前 后 ， 比 特 币 并 没有 真正 在 区 块 链 
中 移动 ， 只 是 你 和 银行 的 合约 变化 了 而 已 。 对 于 你 的 交易 对 手 而 言 ， 也 
是 如 此 。 


交易 所 有 优点 也 有 缺点 。 优 点 之 一 是 交易 把 比特 币 经 济 和 法 币 经 济 
相 结 合 起 来 ， 这 两 种 货币 实现 了 自由 转换 。 如 果 我 账户 里 有 比特 币 和 美 
元 ， 我 可 以 随心 所 欲 将 比特 币 换 成 美元 ， 或 把 美元 换 成 比特 币 ， 这 是 相 
当 方 便 的 。 


缺点 就 是 风险 。 交 易 所 面临 和 银行 一 样 的 风险 ， 主 要 包括 以 下 三 大 


类 风险 : 


三 类 风险 


第 一 类 风险 是 挤 兄 。 挤 兑 就 是 大 家 同时 都 去 银行 提 球 。 由 于 银行 一 
般 只 保存 部 分 存 球 ， 所 以 可 能 无 法 应 付 所 有 的 提 球 要 求 。 当 银行 无 法 兄 
现 的 谣言 四 起 之 时 ， 大 家 开始 恕 惰 ， 然 后 更 多 人 去 银行 取 钱 ， 造 成 朋 塌 
效应 。 


第 二 类 风险 是 银行 本 壬 可 能 就 是 一 个 庞 氏 骗局 。 庞 氏 骗 局 的 通常 做 
法 就 是 不 断 借 新 还 旧 ， 从 储户 吸收 存 球 ， 管 应 日 后 提供 一 定 的 收益 ， 但 
实际 上 这 笔 钱 并 没有 用 于 投资 ， 而 是 用 于 文 付 先前 储户 的 收益 ， 这 类 骗 
局 最 终 必 然 会 月 溃 ， 使 人 们 损失 惨重 。2008 年 的 麦 道夫 骗局 就 是 庞 氏 骗 
局 的 最 新 案例 。 


第 三 类 风险 惑 是 黑客 入 侵 。 有 人 一 一 有 的 甚 全 就 是 交易 所 的 雇员 


试图 入 侵 交 易 所 的 安全 系统 。 由 于 交易 所 储存 大 量 密 钥 ， 而 这 些 密 
钥 可 以 支取 比特 币 ， 所 以 交易 所 需要 非常 小 心地 监控 软件 的 安全 性 及 其 
操作 流程 一 一 例如 ， 如 何 管 理 冷 热 储 存 等 。 如 果 某 个 环节 出 了 差错 ， 我 
们 存在 交易 所 的 比特 币 就 会 被 盗 取 。 


上 述 风 险 都 实际 发 生 过 。 有 的 交易 所 因为 挤 部 而 倒闭 ， 有 的 交易 所 
因为 管理 员 的 监 守 目 盗 而 倒闭 ， 也 有 的 交易 所 因为 黑客 入 侵 而 倒闭 。 实 
际 上 ， 统 计数 据 并 不 令 人 乐观 。2013 年 的 一 项 研究 显示 ，40 家 比特 币 中 
有 18 家 由 于 存 球 到 期 无 法 况 付 或 其 他 问题 而 倒闭 。 


倒闭 的 交易 所 中 ， 最 有 名 的 就 是 门头沟 〈Mt.Gox) 。 门 头 沟 曾 经 是 
世界 上 最 大 的 比特 币 交 易 所 ， 最 后 因 存 球 到 期 无 法 兄 付 而 宣告 倒闭 ， 许 
多 投资 者 血本 无 归 。 门 头 沟 现在 还 在 日 本 与 美国 法 院 走 破产 清算 程序 ， 
人 们 到 现在 都 没有 摘 清 楚 他 们 的 钱 到 底 去 了 哪里 。 我 们 只 知道 一 点 : 门 
头 沟 曾 经 拥有 很 多 比特 币 ， 而 现在 已 经 一 无 所 有 了 。 这 对 于 所 有 交易 所 


都 是 一 个 警示 。 


反观 传统 银行 业 ， 并 没有 高 达 45% 的 破产 率 。 政 府 的 监管 在 其 中 发 
挥 了 重要 的 作用 。 政 府 对 银行 的 监管 主要 体现 在 以 下 方面 : 


银行 监管 


政府 首先 要 求 银 行 有 一 个 最 低 准 备 金 要求 。 在 美国 ， 银 行 随时 要 保 
留 总 储蓄 量 39%0~10% 的 现金 来 应 付 突 发 的 提 称 请求。 政府 通常 还 会 对 银 
行 的 投资 类 别 以 及 资金 管理 方法 进行 监管 ， 政 府 要 求 银行 的 资产 投 问 低 
风险 资产 ， 因 为 这 些 钱 大 多 是 储 己 的 血汗 钱 ， 而 不 是 银行 目 有 的 资金 。 


政府 不 仅仅 对 银行 进行 监管 ， 还 会 在 必要 时 为 银行 或 储蓄 者 提供 保 
护 。 首 移 ， 政 府 会 提供 储 革 保险。 如 果 一 个 齐 纪 守法 的 银行 破产 ， 政 府 
会 偿还 储户 一 部 分 存 球 。 其 次 ， 政 府 有 时 候 也 会 充当 “最 后 借 球 人 ” 角 


色 。 如 果 银 行 短期 经 营 困难 ， 但 仍 有 一 定 的 偿 债 能 力 ， 政 府 给 银行 提供 
贷款 ， 直 到 银行 有 足够 的 资金 周转 ， 从 而 让 银行 渡 过 难关 。 


传统 银行 的 监管 大 抵 如 此 ， 但 比特 币 交 易 所 的 监管 则 并 非 这 样 。 比 
特 币 交 易 所 需 不 需要 被 监管 ， 我 们 会 在 第 7 章 讨 论 。 


准备 金 证 明 


比特 币 交 易 所 或 者 其 他 提供 比特 币 管理 服务 的 机 构 ， 可 以 使 用 一 种 
称 为 “准备 金 证 明 ”(proof of reserve) 的 密码 学 技术 来 向 储户 证 明 他 们 
留存 了 一 部 分 储备 金 一 一 例如 ， 按 照 储 蔓 额 的 25% 留 存 一 一 从 而 消除 投 
资 人 的 担心 。 


准备 金 证 明 包 括 两 方面 的 内 容 : 首先 是 证 明 你 有 多 少 准 备 金 。 这 比 
较 容 易 ， 交 易 所 只 需 发 起 一 笔 向 自己 转账 的 交易 ， 转 账 的 金额 等 于 其 公 
布 的 准备 金 金额 即 可 。 如 果 交 易 所 声称 留存 了 100 ”000 个 比特 币 作为 准 
备 金 ， 那 么 它们 会 发 起 一 笔 100 ”000 个 比特 币 的 转账 交易 ， 收 款 人 就 是 
交易 所 本 身 ， 然 后 回 客户 说 明 这 笔 交 易 的 有 效 性 。 之 后 ， 它 们 会 用 同一 
个 私 钥 去 为 一 条 查询 指令 签名 ， 这 个 查询 指令 是 公正 的 第 三 方 随意 发 出 
的 字符 串 。 这 样 就 可 以 证 明 出 具 准 备 金 证 明 的 人 至 少 知晓 该 私 钥 ( 即 使 
他 不 是 私 钥 的 拥有 者 ) 。 


我 们 应 注意 到 两 点 : 首先 ， 严 格 地 说 ， 准 备 金 证 明 并 无 法 证 明 交 易 
所 真正 拥有 这 些 准 备 金 ， 只 能 说 明 真 正 拥 有 这 笔 比 特 币 的 人 愿意 参与 准 
备 金 证 明 的 过 程 。 换 句 话 说， 准备 金 证 明 只 是 证 明了 某 人 《交易 所 ) 可 
以 控制 这 一 笔 钱 ， 或 者 某 人 《交易 所 ) 所 熟悉 的 人 可 以 控制 这 一 笔 钱 。 
其 次 ， 准 备 金 是 可 能 被 瞒 报 的 ， 一 个 交易 所 可 能 留存 了 150 ”000 个 比特 
币 的 准备 金 ， 但 只 同人 们 证 明 它 留存 了 100 ”000 个 比特 币 的 准备 金 。 因 
此 ， 准 备 金 证 明 不 能 证 明 准 备 金 的 上 限 金额 ， 而 只 能 证 明 其 下 限 金 额 ， 


即 证 明 某 人 《交易 所 ) “至 少 ” 有 多 少 准备 金 。 


负债 证 明 (proof of liabilities ) 


目前 ， 交 易 所 只 证 明了 留存 的 准备 金 规 模 ， 为 了 证 明 准 备 金 留 存 比 
例 ， 还 需要 证 明 其 吸收 的 存款 规模 。 知 道 了 准备 金 规模 和 存款 规模 ， 那 
么 将 这 两 个 数 相 除 就 得 到 了 准备 金 留 存 比例 。 我 们 接 下 来 会 展示 一 种 方 
法 ， 可 以 确保 交易 所 不 会 眶 报 存 和 规模 《但 可 以 多 报 ) ， 这 样 ， 由 于 区 
易 所 同人 们 证 明了 准备 金 “ 军 少 ” 是 多 少 ， 存 于 规模 “至 多 ”是 多 少 ， 这 
样 ， 在 计算 准备 金 比例 时 ， 分 子 仿 小 而 分 母 偏 大 ， 因 此， 我 们 可 以 得 到 
准备 金 比例 的 保守 估计 。 


对 于 比特 币 交易 所 而 言 ， 如 果 不 考 虑 储户 隐私 的 话 ， 可 以 将 所 有 的 
存款 记录 公布 ， 即 公布 所 有 储户 的 姓名 和 人 金额， 这 样 ， 人 们 就 可 以 计算 
交易 所 的 储蓄 规模 《〈 即 交易 所 的 负债 规模 ) ， 而 且 ， 如 末 交 易 所 瞒 报 数 
据 ， 那 么 菏 些 储户 将 发 现 目 己 并 不 在 公布 名 单 内 或 者 发 现 目 己 的 储蓄 额 
少 了 ， 这 时 ， 储 户 兢 会 将 此 坚 光 ， 因 此 ， 交 易 所 不 可 能 瞒 报 存 球 规模 。 
但 是 ， 交 易 所 可 以 在 存 球 记录 中 加 入 一 些 虚 构 的 上 客户， 这样 ， 由 于 公布 
的 数据 真 假 迭 和 ， 在 一 定 程度 上 可 以 保护 储户 的 隐私 ， 只 是 这 么 做 会 使 
交易 所 的 总 负债 被 高 信 。 这 种 情况 下 ， 只 要 没有 收 到 储户 投诉 其 储 荔 被 
少 报 或 漏 报 ， 人 们 就 可 以 相信 ， 交 易 所 公布 的 负 全 规模 肯定 不 低 于 实际 
的 负债 规模 。 


当然 ， 以 上 做 法 是 以 牺牲 储户 隐私 为 代价 的 。 实 际 上 ， 我 们 会 用 梅 
克 尔 树 来 证 明 存 款 规 模 。 我 们 在 第 1 章 就 说 过 ， 梅 克 尔 树 就 是 一 棵 哈 希 
值 构成 的 二 叉 树 ， 每 个 指针 不 仅 告诉 我 们 去 哪里 找到 一 个 信息 ， 而 且 还 
告诉 我 们 这 个 信息 的 哈 硕 值 。 交 易 所 想 要 证 明 其 负 便 ， 可 以 先 构建 一 柠 
二 叉 树 ， 二 又 树 的 每 个 时节 点 都 代表 一 个 储户 ， 如 岁 4.5 所 示 《 当 然 ， 
这 里 也 同样 需要 储户 来 核实 自己 是 人 否 在 这 柜 二 又 树 上 ) ， 之 后 ， 我 们 还 


需要 让 储户 可 以 核实 交易 所 申明 的 负债 规模 ， 要 实现 这 点 ， 我 们 需要 为 
每 个 节点 添加 一 个 字段 〈 下 文 简称 为 存款 金额 字段 ) ， 这 个 字段 显示 其 
最 近 的 两 个 子 节点 的 存款 金额 之 和 。 


二 


RAR HO HC 
EC [sl Me sR EO HG 


储户 1 储户 2 储户 3 储户 4 | | 储户 5 储户 6 储户 7 储户 8 
的 账户 | | 的 账户 的 账户 | | 的 账户 | | 的 账户 | | 的 账户 的 账户 | | 的 账户 


图 4.5 负债 证 明 

注 : 交易 所 构建 这 样 一 棵 梅 克 尔 树 : 每 个 储户 对 应 一 个 叶 节 点 ， 每 个 叶 节 点 的 存款 
金额 字段 保存 储户 存款 金额 。 每 个 节点 的 存款 金额 字段 等 于 与 其 最 相近 的 两 个 子 节 
点 的 存款 金额 之 和 ， 这 样 ， 根 节点 的 存款 金额 字段 就 代表 着 存款 总 规模 。 每 个 储户 
都 可 以 要 求 交易 所 证 明 该 储户 在 梅 克 尔 树 上 ， 并 且 可 以 核实 根 节 点 所 显示 的 总 存款 
规模 。 

交易 所 构建 完 梅 克 尔 树 之 后 ， 把 根 节 点 的 哈 希 指针 和 根 节 点 的 存 和 于 
金额 字段 进行 加 密 签名 ， 然 后 在 网 络 上 广播 。 根 节点 的 存款 金额 字段 自 
然 束 是 存款 总 规模 一 一 也 就 是 我 们 最 关心 的 数据 。 此 外 ， 交 易 所 还 需要 
声明 所 有 储户 都 可 以 对 应 到 叶 节 点 上 ， 而 且 所 有 储户 的 存款 数据 都 是 正 
确 的 ， 并 且 每 个 父 节 点 在 加 总 子 节点 的 存 球 数据 时 也 没有 出 现 差 错 ， 因 
此 ， 根 节点 的 存款 金额 字段 正确 无 误 地 说 明了 存款 总 规模 。 


现在 ， 每 个 客户 都 可 以 向 交易 所 索取 存 于 证明， 交易 所 也 必须 回 储 
户 出 具 相 应 证 明 。 这 种 证 明 实际 上 就 是 一 棵 包含 该 客户 所 对 应 的 市 反 的 
子 树 ， 子 树 应 包括 根 证 点 和 叶 节 点 ， 如 图 4.6 所 示 ， 之 后 ， 客 户 可 以 核 


SD Ls 


1. 子 树 根 三 点 的 哈 希 指针 和 存 球 金 额 字 段 ， 与 交易 所 广播 的 值 一 
致 。 


2. 从 子 树 的 根 贡 点 过 有 历 到 叶 节 点 ， 每 个 节点 对 应 的 哈 希 值 确 实 是 其 
所 指 癌 的 子 节 点 的 哈 希 值 。 


3. 每 个 时 节点 对 应 的 客户 账号 信息 《客户 名 、 账 号 和 存 天 金额 ) 都 
是 正确 无 误 的 。 


4. 每 个 节点 的 存 球 金 额 字段 正好 等 于 与 其 最 相近 的 子 节点 的 存 球 金 
额 之 和 。 


你 的 
账户 


图 4. 6 以 梅 克 尔 树 〈 子 树 ) 的 形式 提供 存款 证 明 

注 : 子 树 包含 叶 节 点 、 根 节点 和 之 间 的 所 有 子 节点 及 其 兄弟 节点 。 
上 述 做 法 的 优点 在 于 ， 二 又 树 的 每 个 分 文 都 会 被 和 有 历 一 过 ， 而 且 ， 
总 有 人 会 核实 每 个 节点 的 存 秋 金额 字段 恰恰 等 于 与 其 相 邻 的 两 个 子 节 局 
的 存 球 金额 之 和 。 关 键 的 是 ， 不 同 的 客户 获得 的 子 树 中 ， 如 果 有 相同 的 


节点 ， 那 么 这 些 节 点 的 哈 希 值 以 及 存款 金额 字段 也 必定 是 相同 的 ， 人 个 则 
就 会 产生 哈 希 页 撞 (hash collision ) 。 


我 们 总 结 一 下 。 首 先 ， 交 易 所 为 了 证 明 其 留存 了 X 比 特 币 的 准备 
金 ， 发 起 了 一 笔 癌 上 自己 转账 的 交易 ， 转 账 金额 为 X 个 比特 币 ， 并 且 在 网 
络 上 广播 这 笔 交 易 。 之 后 ， 交 易 所 证 明 其 吸收 的 存款 规模 不 少 于 Y 比 特 
币 。 这 样 ， 我 们 就 知道 这 个 交易 所 的 准备 金 比 例 至 少 是 X/Y。 这 意味 
着 ， 如 果 一 个 比特 币 交 易 所 想 同 人 们 证 明 目 己 的 准备 金 比例 是 259%6， 可 
以 通过 上 述 方法 让 所 有 人 都 可 能 对 此 进行 独立 审计 ， 而 不 是 依靠 中 央 权 
威 机 构 来 验证 。 


你 也 许 发 现 了 上 述 两 种 方法 存 球 证 明和 负债 证 明 〉 泄露 了 很 多 私 
密 信息 ， 其 中 包括 很 多 敏感 信息 ， 例 如 交易 所 使 用 的 账户 、 存 球 准 备 金 
总 规模 以 及 交易 所 总 负债 规模 ， 甚 全 是 储户 的 个 人 账户 余额 等 。 实 际 
上 ， 交 易 所 并 不 愿意 公布 这 些 信息 ， 因 此 在 实际 应 用 中 ， 存 球 准 备 金 证 
明 用 得 很 少 。 


最 近 推 出 的 一 个 被 称 为 “准备 金 ” (provision) 的 协议 ， 也 可 以 提供 
偿付 能 力 证 明 ， 而 且 不 需要 拔 露 总 负债 和 总 的 存 天 准备 金 规模 ， 也 不 需 
要 披露 正在 使 用 的 账户 地 址 。 该 协议 使 用 的 加 密 技 术 更 加 先进 ， 在 此 不 
深入 讨论 。 但 是 这 个 技术 又 一 次 证 明 ， 加 密 技 术 能 够 帮助 保护 隐私 。 


偿付 能 力 是 一 项 可 以 执行 的 监管 措施 《比特 币 交 易 所 可 以 目 主 选择 
遵守 ) ， 其 他 方面 的 监管 措施 则 更 难 执行 ， 请 参见 第 7 章 。 


4.5 文 付 服务 


到 目前 为 止 ， 我 们 讨论 了 如 何 存储 和 管理 比特 币 。 现 在 我 们 来 讨论 
一 下 商户 一 一 无 论 是 电 商 还 是 实体 店 一 一 如 何 接 受 比 特 币 付款 。 通 常 ， 
商户 接受 比特 币 付 球 只 是 为 了 满足 客户 使 用 比特 币 支 付 的 需求 ， 其 实 丙 
户 并 不 愿意 持 有 比特 币 ， 因 此 他 们 需要 快速 地 把 比特 币 换 成 法 币 。 对 于 
商户 来 资 ， 他 们 和 希望 这 个 过 程 一 一 收 称 和 兑换 一 一 可 以 尽 可 能 简便 地 实 
现 ， 最 好 是 不 需要 了 解 太 多 技术 细节 。 例 如 ， 不 需要 对 他 们 现 有 的 网 站 
大 动 干 戈 ， 或 重新 购置 文 付 设备 。 


商户 还 希望 整个 过 程 是 低 风 险 的 。 实 际 上 ， 商 户 接受 比特 币 付 款 可 
能 面临 多 种 风险 。 例 如 ， 使 用 新 技术 可 能 使 他 们 的 网 站 骨 尝 而 造成 损 
失 ; 使 用 比特 币 还 可 能 存在 安全 风险 ， 黑 客 可 能 攻破 商户 的 在 线 钱包 ， 
或 者 雇员 可 能 携 比特 币 潜逃 ， 最 后 ， 比 特 币 还 可 能 有 汇率 风险 一 一 比特 
币 的 汇率 随时 间 波 动 很 大 。 对 一 个 商户 而 言 ， 如 果 他 的 比萨 定价 是 12 美 
元 ， 那 么 每 卖 出 一 张 比萨 ， 商 户 希 望 收 到 的 钱 是 12 美 元 ， 如 果 他 接受 比 
特 币 付 蒜 ， 那 么 他 会 希望 比特 币 的 价格 不 要 出 现 太 大 的 波动 ， 他 要 保证 
所 收 到 的 比特 币 能 兑换 回来 12 美 元 。 


支付 服务 商 就 在 这 种 背景 下 发 展 起 来 了 ， 可 以 同时 满足 客户 和 商户 
的 需求 。 


站 在 商户 的 角度 ， 客 户 用 比特 币 文 付 的 整个 流程 如 下 : 
1. 商 户 登录 文 付 服务 网 站 ， 如 图 4.7 所 示 〈 图 来 自 比 特 币 基地 公司 的 


网 站 界面 ， 译 者 翻译 ) ， 按 照 网 站 的 要 求 ， 填 写 商品 名 称 、 数 量 、 商 品 
描述 、 收 款 账户 等 言 息 。 


选择 使 用 比特 币 支付 ， 或 观看 每 种 支付 方法 的 示例 。 
类 型 @ 按 钮 ”oo 托管 网 页 oiFrame oO 电邮 发 票 


支付 方式 @ 现在 支付 o 捐赠、 o 订阅 


按钮 类 型 @ 使 用 比特 币 支付 而 oO 使 用 比特 币 支 付 园 
O =a) 


销 品 名称 | Alpaca Socks 数量 0.00 


商品 描述 The ultimate in lightweight footwear 


支付 给 | My Wallet ( 0.00 BTC ) $ 


显示 更 多 选项 


生成 按钮 代码 


图 4.7 生成 比特 币 支付 按钮 的 软件 界面 示例 
注 : 通过 支付 服务 商 提供 的 网 站 ， 商 户 可 以 轻松 生成 一 段 网 页 代码 ， 直 接 上 误 入 商户 
的 现 有 网 页 即 可 使 用 。 
2. 文 付 服务 商 网 站 会 根据 商户 所 填 的 内 容 ， 生 产 HTML 人 代码， 商家 
可 以 直接 将 代码 添加 到 现 有 网 页 代码 中 ， 这 时 ， 网 页 中 束 会 出 现 一 个 支 
付 按钮 。 


3. 客 户 在 丙 户 网 站 上 点 击 文 付 按钮 ， 后 合 就 会 执行 整个 流程 ， 最 后 
商户 会 收 到 确认 信息 :“[ 客 户 ] 购 买 了 [数量 ] 的 [物品 ]， 文 付 了 [金额 ]”。 


这 种 手动 添加 按钮 的 做 法 ， 只 适用 于 只 卖 一 两 个 物品 的 小 网 站 ， 或 
用 于 接受 捐赠 的 网 站 ， 对 于 大 型 的 购物 网 站 ， 手 动 复 制 粘贴 成 二 上 万 次 


代码 显然 是 不 现实 的 。 因 此 ， 文 付 服务 商 网 站 也 提供 可 编程 的 界面 来 为 
动态 页 面 谎 加 文 付 按钮 。 


现在 ， 我 们 来 看 一 看 ， 当 客户 使 用 比特 币 进 行 网 购 时 ， 整 个 付 球 流 
程 的 细 市 是 怎么 样 的 (下 面 所 说 的 步骤 ， 正 古 图 4.8 描 述 的 流程 )。 


(5 ) 确认 < 交易 ID ， 金 额 > 支付 
商户 和 服务 商 


客户 
图 4.8 客户 、 商 户 和 支付 服务 商 的 交互 流程 


1. 铭 户 在 购物 网 站 上 挑选 了 一 个 商品 ， 当 他 打算 付 球 的 时 候 ， 会 跳 
转 到 一 个 付 球 页 面 ， 页 面 上 有 “用 比特 币 支 付 ” 的 按钮 (通过 骨 入 支付 服 
务 商 提供 的 HTML 代 码 实现 ) ， 此 外 ， 页 面 上 还 会 显示 一 个 交易 ID〈 便 
于 商户 记 账 ) 和 金额 。 


2. 如 果 客 户 想 用 比特 币 文 付 ， 瓯 会 点 击 对 应 的 文 付 按钮 ， 这 时 ， 网 
页 会 向 支付 服务 商 发 送 一 个 HTTPS 请 求 ， 告 诉 文 付 服务 商 现在 有 个 客户 
想 用 比特 币 文 付 ， 网 页 还 会 同文 付 服务 商 传送 商家 ID、 区 易 ID、 人 金额 等 
数据 。 


3. 文 付 服务 丙 收 到 数据 之 后 ， 知 道 有 客户 一 一 无 论 他 是 谁 一 一 想 要 
支付 一 定金 额 的 比特 币 ， 这 时 ， 网 页 会 弹出 一 个 窗口 ， 提 示 客 户 付 球 流 
程 ， 客 户 根据 提示 发 起 一 笔 转 账 申请 ， 从 他 的 钱包 中 转移 一 部 分 比特 币 
给 文 付 服务 商 。 


4. 客 户 付 球 后 ， 网 站 会 重新 跳 转 到 商户 页 面 ， 并 提示 付 球 流程 下 
常 。 这 意味 着 支付 服务 商 在 比特 币 网 络 上 收 到 了 这 笔 交 易 的 广播 ， 但 这 
个 交易 还 没有 通过 足够 多 市 点 的 核验 。 从 客户 角度 来 讲 ， 他 已 经 完成 文 
付 ， 但 从 商户 的 角度 讲 ， 还 需要 等 符 文 付 服务 丙 的 确认 才 可 发 货 。 


5. 最 后 ， 文 付 服务 商会 直接 问 商家 发 送 付 球 凭证 (交易 ID 和 人 金 
额 ) ， 这 表示 文 付 服务 丙 承 诡 会 文 付 这 笔 钱 给 商户 ， 这 时 商 尸 才 开 始 发 


化 
内 0o 


整个 支付 服务 的 最 后 一 个 环节 是 支付 服务 商 向 商户 结算 并 付 球 
将 相应 金额 的 美元 或 其 他 货币 直接 转 到 商户 的 银行 账 写 。 结 球 频 率 可 能 
是 每 日 数 次 或 每 日 一 次 ,但 不 会 每 笔 交 易 都 结算 一 次 。 文 付 服务 商会 按 
比例 收取 服务 费用 ， 这 就 是 文 付 服务 商 的 备 利 模式 。 不 同 的 文 付 服务 
商 ， 上 述 流程 细节 可 能 有 所 不 同 ， 但 大 抵 相似 。 


简单 总 结 一 下 ， 通 过 支付 服务 商 的 服务 ， 客 户 可 以 用 比特 币 购物 ， 
商户 如 期 收 到 美元 ， 支 付 服务 商 获得 手续 费 ， 和 皆大欢喜 。 对 商户 来 说 ， 
他 只 关心 销售 物品 ， 收 回 美元 或 其 他 通行 的 货币 ， 中 间 的 一 切 环节 由 支 
付 服 务 商 打 理 ， 收 取 客户 的 比特 币 ， 并 兑换 成 货币 给 商户 。 


关键 的 是 ， 在 整个 过 程 中 ， 文 付 服 务 商 承 担 了 所 有 风险 。 首 先 ， 它 
承担 了 安全 风险 ， 所 以 需要 好 的 安全 措施 来 管理 比特 币 ;， 其次， 它 承 担 
了 汇率 风险 ， 它 收取 比特 币 然 后 支付 美元 ， 如 果 美 元 兄 比 特 币 的 汇率 小 
动 太 大 ， 文 付 服务 商 可 能 会 遭受 损失 ,但 如 果 汇 率 往 有 利 的 方向 波动 ， 
也 可 能 大 赚 一 笔 。 支 付 服务 商 的 商业 模式 决定 了 它 必 须 承担 风险 。 


再 要 注意 的 是 ， 文 付 服务 丙 的 资金 流动 很 大 ， 它 收取 大 量 的 比特 
币 ， 然 后 付出 大 量 的 美元 。 因 此 ， 文 付 服务 两 自然 就 成 为 交易 所 的 活路 
成 员 一 一 通过 交易 所 才能 实现 法 定货 币 与 比特 币 的 通兑。 对 于 文 付 服务 
商 而 言 ， 不 仅 需要 考虑 比特 币 的 汇率 问题 ， 也 要 考虑 如 何 进 行 巨额 部 
换 。 当 然 ， 如 宋 一 个 文 付 服务 商 解决 了 这 些 问题 ， 就 可 以 解决 客户 想 付 
比特 币 而 商户 想 收 美元 的 矛盾 ， 为 此 ， 文 付 服务 商 从 每 笔 交 易 中 收 取 的 
手续 费 有 可 能 使 其 实现 相当 可 观 的 利润 。 


4.6 交易 费 


前 面 的 章节 中 已经 提 到 过 交易 费 ， 以 后 的 章节 也 会 陆续 提 到 。 本 章 
主要 讨论 在 比特 币 系统 中 ， 交 易 费 是 如 何 设 定 的 。 


当 一 笔 交 易 被 纳入 比特 币 区 块 链 的 时 候 ， 就 可 能 文 付 了 一 笔 交 易 
费 。 前 面 章节 提 到 ， 交 易 费 是 比特 币 交 易 中 输入 金额 〈 付 款 方 文 付 的 比 
特 币 ) 和 输出 金额 〈 收 款 方 收取 的 比特 币 ) 之 间 的 差额 一 一 输入 金额 必 
须 不 少 于 输出 金额 ， 否 则 交易 无 法 完成 ;如果 交易 的 输入 金额 大 于 输出 
金额 ， 那 么 这 个 差额 就 是 交易 费 。 交 易 费 由 将 该 交易 打包 进 某 个 区 块 的 
矿工 获得 。 


交易 费 的 经 济 学 意义 非常 有 趣 ， 也 非常 复杂 。 而 且 交 易 费 的 设 定 细 
节 随 时 间 变 化 而 不 断 变化 ， 我 们 在 这 里 把 时 间 框 定 在 2015 年 年 初 ， 讨 论 
交易 费 在 那个 时 点 是 如 何 设 定 并 运作 的 。 我 们 也 会 在 本 节 末 尾 简单 叙述 
一 下 当前 的 情况 。 


en 
每 个 节 扩 传播 交易 信息 ， 最 后 由 一 个 矿工 把 这 和 柜 区 易 打包 
进 一 个 区 块 这 些 都 有 代价 。 举 个 例子 ， 如 果 一 个 矿工 将 你 的 交易 打包 
进 他 的 区 块 ， 那 么 这 个 区 块 束 会 比 其 他 区 块 大 一 点 点 ， 也 会 花费 更 多 的 
时 间 传 输 到 其 他 节点 ， 这 样 ， 这 个 区 块 变 成 狐 块 的 可 能 性 就 会 提高 ， 原 
因 是 在 这 一 小 段 时 间 中 ， 别 的 矿工 也 许 刚 好 完成 了 区 块 打包 。 


不 论 是 对 于 节点 的 传播 还 是 对 于 矿工 而 言 ， 确 认 你 的 交易 都 需要 人 花 
费 代 价 ， 交 易 费 便 用 来 补偿 矿工 处 理 交 易 所 付出 的 代价 。 节 点 通常 并 不 
收取 费用 ， 当 然 ， 市 点 的 运行 成 本 也 比 矿工 的 运行 成 本 低 许多 。 交 易 费 


的 金额 可 以 由 发 起 交易 的 人 上 自由 设 定 ， 也 可 以 不 设 定 交 易 费 。 通 御 来 
讲 ， 如 有 果 你 文 付 了 较 高 的 交易 费 ， 则 交易 将 被 更 快 、 更 可 乱 地 传播 和 记 
录 。 


为 了 说 明 矿 工 如 何 设 定 交 易 旨 用， 我 们 现在 来 看 一 下 默认 的 交易 费 
政策 。 但 再 要 注意 : 首先 ， 下 文 叙述 的 交易 费 政策 基于 2015 年 发 布 的 现 
行 第 0.10.0 版 本 ， 在 后 续 版 本 中 ， 交 易 费 政 朱 可 能 不 同 ， 其 次 ， 设 置 默 
认 交 易 费 的 动机 是 为 了 防止 区 块 链 被 大 量 小 颌 交易 所 “污染 ”， 而 并 不 是 
想 准 确 地 评估 矿工 处 理 交 易 的 成 本 。 


当然 ， 矿 工 无 须 遵 守 默 认 的 交易 费 政 朱 。 在 2015 年 ， 交 易 费 在 矿工 
收入 中 的 占 比 不 到 1%， 因 此 ， 大 部 分 矿工 是 遵循 默认 交易 费 政 朱 的 。 
但 随 着 挖 矿 奖励 的 降低 ， 交 易 费 在 矿工 收入 中 的 占 比 会 越 来 越 蜗 ， 我 们 
可 以 预测 ， 将 会 有 越 来 越 多 的 矿工 不 再 遵守 默认 的 交易 费 政策。 


现在 大 部 分 矿工 所 默认 的 交易 费 是 这 样 计算 的 ， 首先 ， 如 果 区 易 满 
足以 下 三 个 条 件 ， 那 就 不 需要 支付 交易 线 : 


1. 交 易 小 于 1 000 个 字 节 。 
2. 所 有 输出 为 0.01BTC 或 更 大 。 
3. 优 先 权 足够 高 。 


优先 权 是 这 样 定义 的 : 《所 有 输入 的 账 龄 的 总 和 x 输 入 金额 ) /交易 
规模 。 也 就 是 说 ， 先 明确 交易 的 输入 所 对 应 的 上 一 笔 交 易 ， 把 每 笔 交 易 
的 账 龄 “交易 完成 到 现在 所 经 过 的 时 间 ) 及 输入 金额 相 乘 ， 然 后 把 乘积 
相 加 ， 束 得 到 了 优先 权 数 据 。 注 意 ， 某 笔 交 易 的 输出 越 长 时 间 没 有 修 消 
费 挥 ， 账 龄 束 越 高 ， 那 么 ， 它 被 支付 时 ， 交 易 的 优先 权 残 越 大 。 


如 果 一 笔 区 易 满 足 了 上 述 三 点 要 求 ， 这 笔 交 易 会 被 传播 ， 最 后 会 被 
纳入 区 块 链 ， 这 个 过 程 是 免费 的 。 否 则 ， 交 易 就 会 被 收取 费用 ， 当 前 黑 


认 标 准 是 : 每 1 000 个 字 节 需要 支付 0.0001BTC， 在 2015 年 ， 这 相当 于 每 
1 000 个 字 节 花费 1 美 分 的 交易 费 ， 一 笔 交 易 通 党 包括 : 输入 通常 是 148 
个 字 节 ， 每 个 输出 通常 是 34 个 字 节 ， 其 他 信息 10 个 字 市 。 如 果 一 笔 交 易 
有 两 个 输入 和 两 个 输出 ， 那 么 这 笔 交 易 的 大 小 是 400 个 字 节 。 


如 采 一 笔 交 易 没 有 满足 上 述 要 求 ， 它 也 有 可 能 会 被 纳入 区 块 链 ， 但 
如 果 你 想 要 一 笔 区 易 被 更 快 、 更 有 保证 地 纳入 区 块 链 ， 那 么 就 需要 文 付 
一 笔 标 准 的 费用 。 因 此 ， 大 部 分 钱包 软件 和 文 付 服务 商 在 它们 的 文 付 流 
程 中 ， 都 包含 了 标准 的 交易 费用 ， 在 日 常 比特 币 交易 过 程 中 ， 你 会 及 现 
你 文 付 了 一 定 的 交易 费用 。 

当前 ， 大 多 数 的 矿工 会 强制 要 求 交 易 必 须 包 含 交 易 费 ， 这 意味 着 他 


们 不 会 去 处 理 那些 没有 付 交 易 费 的 交易 或 者 最 后 处 理 ) 。 当 然 也 有 些 
矿工 没有 这 么 做 ， 他 们 愿意 接受 很 少 的 交易 费用 甚至 免费 。 


4.7 仙 币 兄 换 市 场 


这 里 所 说 的 货币 苋 换 市 场 是 用 比特 币 来 交易 美元 或 是 欧元 。 虽 然 前 
面谈 到 的 支付 服务 也 能 做 到 这 一 点 ， 但 这 里 讨论 的 是 整个 货币 兑换 市 
场 ， 包 括 市 场 规模 、 分 布 、 如 何 运 转 ， 以 及 与 这 个 市 场 相关 的 经 济 学 原 
1 


首先 ， 比 特 币 兑换 市 场 的 运作 和 法 币 兑 换 市 场 的 运作 很 相似 。 货 币 
郊 换 价 格 的 涨 跌 取 决 于 人 们 买 入 美元 或 欧元 的 需求 。 在 比特 币 世 界 里 ， 
有 不 少 网 站 【例如 bitcoincharts.com〉 可 以 告诉 你 比特 币 与 不 同 货币 之 间 
的 汇率 。 


在 这 个 网 站 上 ， 可 以 看 到 有 很 多 交易 正在 进行 ， 汇 率 也 持续 在 发 生 
波动 。 比 特 币 市 场 具 有 高 度 的 流动 性 ， 你 可 以 在 很 多 场所 兑换 比特 币 。 
2015 年 3 月 ，Bitfinex〈 最 大 的 比特 币 和 美元 兑换 交易 所 ) 的 每 日 交易 量 
大 约 是 70 000 比 特 币 ， 或 是 2 100 万 美元 。 


当然 ， 人 们 也 通过 当面 交易 的 方式 兑换 比特 币 。 有 许多 网 站 提供 这 
种 服务 ， 举 个 例子 ， 在 localbitcoins.com, 你 可 以 告诉 别人 你 的 位 置 ， 然 
百 告 诉 大 家 想 以 什么 样 的 价格 购买 多 少 比 特 币 ， 之 后 ， 网 站 会 告诉 你 当 
地 有 多 少 人 愿意 在 约定 的 地 点 出 售 比 特 币 ， 还 会 告诉 你 他 们 出 售 比特 币 
的 数量 和 人 价格。 这样， 你 残 可 以 联系 他 们 ， 约 在 一 个 咖啡 迄 或 公园 ， 或 
者 其 他 什么 地 方 进行 交易 一 一 文 付 美元 购买 比特 币 。 对 于 小 的 交易 ， 在 
交易 完成 之 后 ， 你 们 只 需 等 待 一 小 段 时 间 ， 交 易 便 可 以 在 区 块 链 上 被 确 
认 。 


交易 变 得 越 来 越 频 繁 ， 人 们 开始 定期 在 固定 地 点 碰 尖 ， 进 行 比特 币 


交易 。 例 如 ， 你 可 以 在 固定 的 地 点 ， 去 茶 个 公园 、 街 角 或 者 咖啡 店 ， 大 
家 都 在 那里 聚会 ， 进 行 比特 币 的 买卖 交易 。 有 很 多 人 喜欢 这 样 的 线 下 区 
易 ， 与 交易 所 在 线 交 易 相 比 ， 线 下 交易 可 以 保护 用 户 的 个 人 隐私 ， 而 根 
气 银 行 的 监管 要 求 ， 人 们 在 交易 所 开户 需要 提供 身份 证 明 ， 无 法 实现 匿 
名 。 我 们 将 在 第 7 章 中 对 此 展开 讨论 。 


供给 和 需求 


就 像 其 他 市 场 一 样 ， 比 特 币 交 易 所 撮合 买 家 与 卖家 。 交 易 所 是 一 个 
相当 大 的 市 场 ， 每 天 的 交易 量 都 在 数 百 万 美元 的 规模 。 当 然 ， 它 还 比 不 
上 纽 交 所 或 是 能 和 美元 /欧元 外 汇市 场 相 提 并 论 ， 但 它 也 成 了 一 定 的 气 
候 ， 而 且 比 特 币 兑换 也 形成 了 公允 市 场 价格 。 一 个 交易 员 想 在 交易 所 买 
卖 比特 币 ， 总 是 可 以 找到 交易 对 手 一 一 至 少 在 交易 额 不 太 巨 大 的 情况 下 
a 


和 任何 一 个 其 他 流动 的 市 场 相似 ， 比 特 币 市 场 中 的 公允 价格 是 由 供 
给 和 需求 决定 的 。 供 给 是 指 比特 币 的 供给 ， 即 可 能 被 出 售 的 比特 币 的 
量 ;需求 是 指 人 们 对 比特 币 的 需求 ， 他 们 持 有 美元 ， 想 购买 比特 币 。 通 
过 市 场 的 供给 和 需求 机 制 ， 比 特 币 的 价格 会 被 设 定 为 一 个 价格 ， 在 这 个 
价格 下 ， 比 特 币 的 供给 和 需求 刚好 相等 。 我 们 稍微 讨论 一 下 细 市 。 


比特 币 的 供给 是 多 少 呢 ? 供给 就 是 指 人 们 可 能 买 到 的 比特 币 数量 ， 
也 就 是 整个 市 场 中 正在 流通 的 比特 币 数 量 ， 这 个 数值 是 固定 的 ， 在 2015 
年 年 末 ， 这 个 数值 是 1 ”500 万 ， 根 据 比 特 币 的 设计 ， 比 特 币 数量 将 绥 慢 
上 升 ， 最 终 达 到 2 100 万 的 上 限 。 


在 考虑 比特 币 供 给 的 时 候 ， 也 可 以 将 活期 存 球 考虑 在 内 。 如 果 人 们 
在 交易 所 存 入 比特 币 ， 而 交易 所 并 没有 全 和 额 提取 准备 金 ， 那 么 实际 上 ， 
活期 存 球 总 量 实际 上 超出 了 交易 所 实际 留存 的 比特 币 数 量 。 


把 活期 存 球 算 在 比特 币 总 供应 量 里 是 耕 正 确 ， 取 决 于 我 们 如 何 定义 
忆 供 应 量 。 如 果 在 我 们 所 分 析 的 市 场 中 ， 活 期 存 球 可 以 被 出 售 ， 例 如 ， 
如 采信 们 可 以 用 比特 币 存 球 况 换 美元 ， 而且， 人 们 要 求 提 取 活 期 存 球 时 
可 以 要 求 交 易 所 文 付 美 元 ， 则 活期 存 球 应 该 被 记 入 比特 币 总 供应 量 。 


值得 注意 的 是 ， 通 常情 况 下 ， 当 经 济 学 家 谈 到 法 定货 币 的 供应 量 的 
时 候 ， 他 们 其 实 也 包括 了 活期 存款 ， 而 不 仅仅 计算 市 场 上 流通 的 货 
《 即 流动 的 纸币 和 硬币 ) ， 原 因 是 人 们 也 使 用 活期 存款 来 购买 商品 。 所 
以 ， 当 我 们 说 一 个 市 场 上 比特 币 的 供应 量 固定 在 1 500 万 或 者 最 终 增 加 
到 2 ” 100 万 时 ， 我 们 需要 把 那些 可 以 等 同 于 现金 使 用 的 活期 存款 也 考虑 
进来 ， 因 此 ， 比 特 币 的 供应 量 和 某 些 比特 币 专家 所 声称 的 数量 可 能 不 
同 。 我 们 要 针对 特定 的 市 场 情况 来 讨论 比特 币 的 供应 量 到 底 是 多 少 。 所 
以 ， 我 们 后 面 讨论 比特 币 供应 量 的 时 候 ， 实 际 上 都 是 针对 我 们 所 分 析 的 
特定 市 场 而 言 的 。 


现在 我 们 再 来 看 一 看 需求 。 比 特 币 的 需求 可 以 分 为 两 类 : 一 类 是 将 
比特 币 作 为 支付 中 介 ， 为 一 类 则 是 投资 需求 。 


第 一 ， 我 们 讨论 作为 支付 中 介 的 比特 币 。 想 象 一 下 ， 爱 丽 丝 想 从 鲍 
劲 处 购买 菜 个 了 商品， 而且 硕 望 用 比特 币 来 文 付 《〈 假 定 爱 丽 丝 和 鲍 肠 其 实 
也 可 以 用 美元 支付 ， 但 他 们 发 现 用 比特 币 支 付 更 方便 ) 。 我 们 再 假定 爱 
丽 丝 和 鲍 有 劲 都 不 想 长 期 持 有 比特 币 ， 所 以 ， 爱 丽 丝 首 移 会 用 美元 兑换 一 
些 比 特 币 用 于 文 付 ， 鲍 动 收 到 比特 币 之 后 ， 会 再 将 比特 币 兄 换 成 美元 。 
这 个 例子 的 关键 在 于 ， 用 于 支付 的 这 部 分 比特 币 实际 上 短暂 地 退出 了 比 
特 币 流通 体系 。 这 就 产生 了 比特 币 的 需求 。 


第 二 个 需求 是 投资 需求 。 有 人 想 购买 比特 币 并 长 期 持 有 ， 等 价格 上 
涨 之 后 卖 掉 。 当 人 们 购买 比特 币 并 长 期 持 有 时 ， 这 些 比特 币 也 就 不 再 流 
通 。 当 比特 币 价格 很 低 的 时 候 ， 大 家 都 会 想 买 进 比 特 币 用 来 投资 ， 而 当 
价格 很 高 的 时 候 ， 需 求 则 不 会 很 高 。 


一 个 简单 的 市 场 行为 模型 


我 们 现在 做 一 个 简单 的 经 济 学 建 模 来 理解 这 些 市 场 行为 。 我 们 不 会 
推演 整个 模型 ( 尺 省 推演 过 程 很 有 意 轧 ) ， 而 是 将 着 重 讨论 比特 币 兑换 
需求 对 比特 币 价 格 的 影响 。 


我 们 先 假设 一 些 参 数 。T 是 指 市 场 中 所 有 参与 者 用 比特 币 进行 文 付 
的 总 交易 量 ， 该 数值 用 每 秒 钟 发 生 的 交易 量 〈 美 元 ) 来 计量 ， 我 们 假定 
人 们 在 进行 文 付 的 时 候 ， 也 总 是 想 着 比特 币 的 美元 价值 ， 这 样 会 简化 问 
题 。 这 样 ， 我 们 就 可 以 用 美元 来 衡量 每 秒 钟 的 总 区 易 量 。D 是 指 比特 币 
用 于 支付 时 ， 暂 时 退出 流通 体系 的 这 段 时 间 长 度 一 一 从 付款 者 买 入 比特 
币 开 始 到 收 区 人 将 比特 币 兑 换 回 市 场 为 止 ， 以 秒 计算 。S 是 人 们 可 以 买 
到 的 比特 币 总 量 ， 等 于 比特 币 总 量 一 一 目前 是 1 ”500 万 左右 《未 来 会 增 
加 到 2 ”100 万 左右 ) 减 去 人 们 打算 长 期 持 有 的 比特 币 数 量 ， 也 就 是 
在 市 场 上 流通 的 、 可 以 随时 买卖 的 比特 币 总 量 。 最 后 ，P 是 比特 币 对 美 
元 的 价格 。 


现在 我 们 可 以 做 一 些 计 算 。 首 先 ， 我 们 要 计算 一 下 每 秒 钟 有 多 少 比 
特 币 可 以 被 用 来 做 交易 。 在 DD 秒 内 ， 市 面 上 有 Ss 个 比特 可 以 用 于 交易 ， 
所 以 每 秒 钟 有 S/D 的 比特 币 重 新 进入 流通 体系 ， 可 以 用 于 支付 。 这 是 供 
应 侧 的 数据 。 


在 需求 侧 〈 指 每 秒 钟 所 需 的 用 于 文 付 交 易 的 比特 币 数量 ) ， 我 们 总 
共 的 支付 交易 规模 是 TI 美 元 ， 而 每 1 美元 对 应 的 交易 ， 我 们 需要 1/P 个 比 
特 币 来 完成 。 所 以 ，TP 就 是 我 们 每 秒 钟 所 需 的 用 于 文 付 区 易 的 比特 币 
数量 。 


在 特定 的 茶 秒 钟 内 ， 供 应 是 ID， 需 求 是 ITP。 和 其 他 市 场 一 样 ， 价 
格 会 根据 供需 关系 达到 平衡 。 如 果 供 应 大 于 需求 ， 有 些 比特 币 就 卖 不 出 
去 ， 出 售 的 一 方 不 得 不 降价 出 售 。 同 样 地 ， 根 据 我 们 TP 的 需求 公式 ， 


当 价 格 下 降 后 ， 需 求 增加 ， 供 应 与 需求 会 再 次 达到 平衡 。 


为 一 个 方面 ， 如 果 供应 小 于 需求 ， 这 意味 着 有 些 人 想 购 买 比特 币 用 
于 文 付 ， 但 是 买 不 到 ， 这 些 人 残 必须 出 更 高 的 价格 来 购买 ， 而 当 价 格 升 
局 后 ， 需 求 就 会 下 降 ， 供 应 与 需求 也 会 再 次 达到 平衡 。 所 以 我 们 可 以 得 
到 以 下 公式 :; 


S/D=1/P 


从 中 我 们 可 以 推算 出 价格 的 公式 : 

TR 

S 
这 个 公式 说 明 什 么 ? 我 们 可 以 将 其 更 加 简化 : 我 们 假设 D (也 就 是 
比特 币 用 于 支付 时 ， 和 暂时 退出 流通 体系 的 这 上 段 时 间 长 度 ) 不 变 ， 人 们 可 
以 买 到 的 比特 币 总 量 S 也 不 变 ， 或 至 少 变 化 的 速度 很 缓慢。 这 意味 着 价 
格 P 和 需求 了 是 成 正比 的 。 所 以 ， 如 果 需 求 翻 倍 ， 比 特 币 价格 也 会 翻 倍 。 
我 们 可 以 根据 比特 币 的 实际 价格 以 及 我 们 估计 的 需求 量 做 图 ， 看 看 价格 
和 需求 的 关系 是 否 真 的 和 我 们 所 预测 的 一 样 。 经 济 学 家 们 已 经 证 实 了 这 

= 


请 注意 ，S (人们 可 以 买 到 的 比特 币 总 量 ) 并 不 包含 那些 用 于 投资 
而 被 长 期 持 有 的 比特 币 。 所 以 如 果 越 来 越 多 人 购买 比特 币 用 于 长 期 投 
资 ， 则 S 会 下 降 ， 根 据 上 面 的 公式 ，P 会 上 涨 。 这 很 容易 理解 ， 当 持 有 比 
特 币 作 为 长 期 投资 的 人 增多 ， 用 于 文 付 中 介 的 比特 币 的 价格 目 然 上 涨 。 


这 并 不 是 一 个 完整 的 市 场 模型 。 一 个 真正 的 市 场 模型 还 必须 考虑 投 
资 者 的 心理 活动 ， 如 果 投 资 者 相信 比特 币 价格 会 上 涨 ， 他 们 对 比特 币 的 
需求 就 升 高 。 这 惑 是 我 们 所 说 的 投资 者 预期 ， 加 入 投资 者 预期 后 ， 模 型 
会 变 得 很 复杂 ， 我 们 在 这 里 不 展开 讨论 。 


总 之 ， 存 在 比特 币 和 美元 、 比 特 币 和 其 他 货币 的 兑换 市 场 。 这 些 市 


场 有 足够 的 流动 性 ， 你 可 以 兑换 或 买卖 比特 币 ， 这 种 哆 换 很 可 徘 ， 妆 然 
价钱 会 有 流动。 我 们 可 以 用 经 济 学 模型 来 理解 供给 和 需求 对 市 场 的 影 
啊 ， 如 果 我 们 有 办 法 估计 一 些 不 可 知 的 信息 ， 比 如 说 未 来 人 们 需要 多 少 
比特 币 用 于 支付 ， 我 们 就 可 以 预测 市 场 。 经 济 学 模型 很 重要 也 很 有 用 ， 
现在 也 有 很 多 人 从 事 更 细节 的 研究 ， 但 详细 的 经 济 学 模型 并 不 在 本 书 的 
讨论 范围 。 


延伸 阅读 


比特 币 的 安全 机 制 和 银行 的 安全 机 制 类 似 ， 但 也 有 些 重要 的 差异 。 
Ross Anderson 的 安全 机 制 教材 一 书 中 的 第 10 章 “Banking and 
bookkeeping”， 非 常 值 得 一 读 ， 教 材 可 以 在 网 络 上 免费 获得 : 


Anderson,Ross. Security Engineering .Hoboken,NJ:John Wiley & 
Sons,2008. 


分 析 比 特 币 交易 所 为 何 倒 团 的 书籍 ， 建 议 阅读 : 


Moore,Tyler,and Nicolas Christin.“Beware the Middleman:Empirical 
Analysis of Bitcoin-Exchange Risk.”In Financial Cryptography and Data 
Security. Heidelberg:Springer 2013. 


Adi Shamir 关 于 密码 分 存 的 书籍 : 


Shamir,Adi.“How to Sharea Secret . ”Communications of the ACM 
22 (11) ，1979. 


讨论 Provisions 〈 无 须 泄露 储户 隐私 的 偿付 能 力 证 明 协 议 ) 的 相关 


Dagher,Gaby and Benedikt Binz，Joseph Bonneau, Jeremy Clark, 


and Dan Boneh.“Provisions:Privacy-Preserving Proofs of Solvency for 
Bitcoin Exchanges.” In Proceedings of the ACM Conference on Computer 
and Communications Security .New York:ACM Press,2015. 


一 个 密码 很 难 又 好 记 又 安全 
有 效 ， 下 面 的 文章 有 相关 示例 : 


现在 的 密码 破解 技术 越 来 越 巧妙 、 


Weir, Matt, Sudhir Aggarwal,Breno De Medeiros,and Bill 
Glodek.“Password Cracking Using Probabilistic Context-Free 
Grammars.Presented at the 2009 IEEE Symposium on Security and 
Privacy,Oakland,CA,2009. 


关于 2014 年 比特 币 交 易 费 的 调 碍 报告 : 


M6ser,Malte and Rainer Béhme.“Trends,Tips,Tolls:A Longitudinal 
Study of Bitcoin Transaction Fees.”Presented at the Second Workshop on 
Bitcoin Research, Puerto Rico, 2015. 


第 5 草 
比特 币 控 丰 


这 一 章节 我 们 将 着 重 讨论 比特 币 挖 矿 (bitcoin mining) 。 前 面 我 们 


己 经 讨论 了 比特 币 是 如 何 依赖 这 些 矿工 们 而 运行 的 一 一 他 们 碍 证 交易 记 
录 ， 制 造 和 储存 所 有 的 区 块 ， 并 对 被 写 入 区 块 链 的 区 块 达 成 共识 。 我 们 
还 知道 矿工 们 会 从 中 得 到 一 些 奖 励 ， 但 还 是 有 些 巧 而 未 决 的 问题 : 这 些 
矿工 都 是 谁 ? 他 们 是 如 何 进入 这 个 行业 的 ? 他们 是 怎么 运作 的 ?他 们 的 
商业 模式 是 什么 ?他们 对 环境 造成 什么 影响 ? 我 们 将 在 这 一 章节 回答 这 
些 问 题 。 


5.1 比特 币 矿 工 的 任务 


你 五 是 想 加 入 比特 币 挖 矿 行列 ， 我 们 不 会 极力 劝阻 你 ， 但 会 提醒 你 
比特 币 挖 夏 潮 很 像 当 年 的 淘金 热 。 历 史上 的 淘金 热 充 斥 着 各 种 年 轻 的 淘 
金 者 下 海 淘金 发 财 的 故事 ， 并 且 不 可 避免 地 ， 许 多 人 最 终 失 去 了 一 切 。 
在 这 些 确实 经 历 了 和 干 辛 万 吾 的 人 们 当中 ， 也 只 有 少数 人 变 得 富有。 我 们 
将 在 本 章 中 了 解 到 ， 和 传统 淘金 以 及 其 他 快速 致 让 途径 一 样 ， 比 特 币 控 
矿 也 面临 着 类 似 的 挑战 和 风险 。 我 们 首先 要 看 一 下 技术 细 市 。 要 成 为 比 
特 币 矿工 ， 你 必须 加 入 比特 币 网 络 并 与 其 他 节点 相 联 。 建 立 链 接 之 后 ， 
还 有 六 小 任务 要 完成 ， 


1. 监 听 交 易 广 播 。 监 听 网 络 上 的 交易 广播 ， 然 后 验证 它们 的 签名 是 
正当 有 效 的 ， 交 易 输出 没有 被 重复 文 付 。 


2. 维 护 区 块 链 网 络 和 监听 新 的 区 块 。 必 须 移 维护 区 块 链 。 为 了 做 到 
这 一 点 ， 一 开始 你 可 以 要 求 其 他 节点 把 区 块 链 上 的 历史 记录 《在 你 加 入 
区 块 链 网 络 之 前 的 ) 同步 过 来 。 然 后 ， 监 听 那 些 被 广播 到 网 络 上 的 新 的 
区 块 。 你 的 任务 是 验证 你 收 到 的 每 个 区 块 ， 这 里 的 验证 是 指 保证 区 块 里 
的 每 笔 交 易 部 是 有 效 的 ， 而 且 这 个 区 块 包 含 了 一 个 有 效 的 随机 数 。 我 们 
会 在 本 章 后 面谈 到 验证 随机 数 的 技术 细 市 。 


3. 组 装 一 个 备 选 区 块 。 一 旦 拥有 最 新 的 全 部 区 块 链 数据 备份 ， 你 就 
可 以 开始 制造 你 自己 的 区 块 了 。 要 做 到 这 一 点 ， 你 要 把 所 监听 到 的 交易 
进行 组 合并 放 进 一 个 新 的 区 块 ， 然 后 把 该 新 区 块 排 在 整 条 链 中 最 新 的 区 
块 的 后 面 。 你 必须 保证 你 建立 的 新 区 块 里 的 每 笔 交 易 都 是 正当 有 效 的 。 


4. 找 到 一 个 让 你 的 区 块 有 效 的 随机 数 。 这 一 步 的 工作 量 最 大 ， 也 是 


矿工 工作 中 最 难 的 一 个 环节 。 我 们 后 面 会 谈 到 细节 。 


5. 希 望 你 的 区 块 被 全 网 接受 。 即 使 你 找到 了 一 个 区 块 ， 也 不 能 保证 
该 区 块 会 成 为 共识 链 (concensus chain) 的 一 部 分 。 这 需要 有 点 运气 ， 
布 望 其 他 的 矿工 接受 你 的 区 块 ， 然 后 从 该 区 块 开始 继续 接龙 下 去 ， 而 不 
是 从 你 的 竞争 对 手 发 现 的 区 块 开始 。' 二 


6. 利 润 。 如 果 所 有 其 他 矿工 接受 了 你 的 区 块 ， 那 你 就 能 获取 利润 。 
在 2015 年 ， 一 个 区 块 的 奖励 是 25 个 比特 币 ， 大 约 在 10 000 美 元 左右 。 此 
外 ， 如 果 在 该 区 块 里 的 任何 交易 都 有 交易 费 ， 所 有 交易 费 也 会 为 矿工 所 
有 。 到 目前 为 止 ， 交 易 费 作为 额外 收入 ， 相 对 来 说 还 比较 低 ， 大 概 是 一 
个 区 块 默认 奖励 的 1%。 


我 们 可 以 把 矿工 的 任务 分 成 两 类 : 第 一 类 任务 是 验证 交易 和 区 块 ， 
这 是 比特 币 网 络 赖 以 生存 和 运转 的 基础 。 这 些 任 务 也 是 比特 币 协议 需要 
矿工 的 首要 原因 。 第 二 类 任务 是 和 其 他 矿工 苋 争 ， 和 争取 可 以 找到 区 块 并 
因此 获 蔓 。 这 些 任 务 并 不 是 比特 币 网 络 存在 所 必需 的 ， 而 是 为 了 翼 励 矿 
工 去 完成 第 一 类 任务 而 设置 的 。 当 然 ， 这 两 类 任务 都 是 使 比特 币 成 为 一 
个 数字 货币 的 必要 条 件 ， 因 为 矿工 必须 获得 奖励 才 会 去 完成 这 些 重要 的 
任务 。 


寻找 有 效 区 块 


现在 回 到 如 何 找到 一 个 使 区 块 有 效 的 随机 数 的 问题 上 。 在 第 3 章 中 
我 们 讨论 过 ， 区 块 链 主要 有 两 层 基 于 哈 希 函数 的 结构 。 第 一 层 在 是 区 块 
链 上 ， 每 个 区 块 的 头 部 都 有 一 个 指针 指向 其 前 一 个 区 块 ， 第 二 层 是 在 每 
一 个 区 块 里 ， 包 括 所 有 交易 的 梅 殉 尔 树 。 


作为 矿工 ， 首 先 需 要 从 你 的 交易 池 中 选 出 一 系列 有 效 的 交易 并 且 编 


译 成 梅 克 尔 树 。 当 然 ， 只 要 不 超过 每 个 区 块 随机 数 的 交易 上 限 ， 你 可 以 
选择 编译 的 交易 数量 。 然 后 ， 组 装 出 一 个 新 的 区 块 ， 让 它 的 头 部 指 辐 区 
块 链 上 的 前 一 个 区 块 。 新 区 块 的 头 部 ， 有 一 个 32 位 的 随机 数 区 域 。 你 需 
要 尝试 不 同 的 临时 随机 数 ， 直 到 该 随机 数 能 使 整个 区 块 的 哈 希 值 小 于 日 
标 值 。 这 个 目标 值 一 般 体现 为 以 零 开 始 的 特定 位 数 的 数值 。 作 为 一 名 矿 
工 ， 你 可 能 使 随机 数 从 0 开始 ， 每 次 增加 数值 1， 直 到 该 随机 数 能 使 区 块 
有 效 为 止 ， 如 图 5.1 所 示 。 
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图 5.1 寻找 有 效 区 块 
注 : 在 这 个 例子 中 ， 矿 工党 试 了 一 串 都 是 零 的 临时 随机 数 ， 但 没有 产生 有 效 的 哈 希 
值 ， 所 以 矿工 继续 尝试 其 他 不 同 的 临时 随机 数 。 
在 大 多 数 情况 下 ， 随 机 数 试 过 所 有 32 位 可 能 的 取 值 后 ， 仍 然 不 能 产 
生 一 个 有 效 的 哈 希 值 ， 这 时 候 你 必须 做 出 更 多 的 改变 。 注 意 ， 图 5.1 中 
币 基 (coinbase〉 还 有 一 个 随机 数 可 以 改动 。 当 你 遍历 区 块头 部 随机 数 
所 有 可 能 的 取 值 后 ， 可 以 改变 币 基 里 的 随机 数 ， 比 如 加 1， 然 后 可 以 重 
新 改变 区 块头 部 随机 数 来 寻找 有 效 的 哈 希 值 。 


当 改 变 币 基 里 的 随机 数 后 ， 整 个 梅 苑 尔 树 上 交易 的 哈 希 值 都 会 改变 
〈 见 图 5.2) ， 因 为 币 基 值 的 改变 会 同上 传递 ， 所 以 改变 币 基 的 随机 数 
值 比 改变 头 部 随机 数值 的 代价 要 大 很 多 。 正 因为 如 此 ， 丰 工大 部 分 时 间 
只 改动 类 部 的 随机 数 ， 只 有 在 遍历 头 部 2* 个 随机 数值 且 还 没有 找到 一 
个 有 效 区 块 时 ， 才 改动 币 基 的 随机 数 。 
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图 5.2 改变 临时 随机 数 
注 : 改变 币 基 里 的 临时 随机 数 ， 整 个 梅 克 尔 树 的 哈 硕 值 都 会 因此 而 改变 。 

你 所 尝试 的 绝 大 多 数 临 时 随机 数 都 不 会 成 功 ， 但 吞 能够 坚持 足够 长 
的 时 间 ， 你 总 能 找到 一 对 正确 的 临时 随机 数组 合 一 一 头 部 随机 数 与 币 基 
随机 数 ， 用 来 产生 一 个 符合 哈 希 值 要 求 的 新 区 块 。 找 到 后 要 立即 宣布 ， 
就 有 希望 得 到 相应 的 区 块 奖励 。 


每 个 人 都 在 运算 同一 个 迹 题 吗 ? 


你 可 能 会 想 ， 如 果 每 个 矿工 都 在 临时 随机 数值 上 逐步 加 1， 电 不 
征 大 家 都 在 按照 同一 个 运算 模式 解 同样 的 谜 ? 岂 不 是 最 快 的 一 个 总 启 
得 竞争 吗 ? 不 会 的 。 首 先 ， 矿 工 们 不 太 可 能 在 完全 相同 的 一 个 区 块 上 
进行 运算 ， 因 为 每 个 矿工 都 会 把 或 多 或 少 不 同 的 交易 用 不 同 的 次 序 来 
放 进 区 块 内 。 但 更 关键 的 是 ， 就 算 两 个 个 同 的 矿工 所 组 建 的 区 块 里 包 
括 了 一 模 一 样 的 交易 ， 这 两 个 区 块 的 哈 希 值 还 是 会 不 同 。 请 记 住 在 币 
基 交 易 里 ， 人 矿工 会 写 自己 的 地 址 接收 新 铸币 。 这 个 地 址 本 里 的 区 别 会 
沿 厦 梅 殉 尔 树 往 上 传递 直达 树 根 ， 叶 人 臻 整 哥 树 上 的 哈 硕 函数 值 不 同 ， 
从 而 保证 了 没有 两 个 矿工 的 区 块 是 一 样 的 。 除 非 两 个 矿工 共享 公开 密 
钥 。 这 种 情况 只 有 可 能 两 个 矿工 同 在 一 个 矿 池 【我们 以 后 会 讨论 )。 
同 在 一 个 矿 池 的 矿工 会 互相 通信 ， 确 保 使 用 不 同 的 币 基 临时 随机 数 以 
避免 重复 工作 。 


找到 一 个 有 效 区 块 到 底 有 多 难 ? 到 2015 年 年 底 ， 这 个 挖 矿 的 难度 目 
标 区 域 值 (用 16 进 制 来 表示 ) 为 : 
0000000000000000172EC0000000000000000000000000000000000000000000 


所 以 任何 有 效 区 块 的 喻 希 值 必须 低 于 这 个 值 。 换 名 话说， 大约 283 
个 临时 随机 数 里 只 有 不 到 一 个 可 以 成 功 ， 这 是 一 个 非常 巨大 的 数值 。 一 
个 粗略 的 佑 计 ， 它 比 全 球 人 口 总 和 的 平方 还 要 大 。 也 就 是 次， 如 采 地 球 
上 的 每 个 人 都 是 一 个 包含 7 亿 人 口 的 独立 星球 ， 那 么 总 人 口 将 会 是 2%。 


决定 难度 


每 挖 出 2 ”016 个 区 块 ， 控 矿难 度 会 改变 一 次 ， 这 个 周期 大 约 古 两 个 
星期 。 难 度 的 改变 是 根据 上 2 ”016 个 区 块 的 挖 矿 效率 来 决定 的 。 用 下 列 
公式 来 表达 : 


上 一 个 难度 x2 016 x 10 分 钟 
产生 上 2 016 个 区 块 所 花费 的 时 间 


下 一 个 难度 = 


注意 ，2 016x 10 分 钟 就 是 两 周 ， 也 就 是 说 ， 如 果 产 生 一 个 区 块 需要 
10 分 钟 ， 那 么 产生 2 ”016 个 区 块 瓯 需要 两 周 时 间 。 上 所 以 这 个 公式 的 意义 
就 是 ， 测 量 全 网 难度 进而 维持 平均 每 10 分 钟 产生 一 个 新 的 区 块 的 速度 。 
挖 矿难 度 改 变 的 周期 是 两 周 ， 并 没有 什么 特别 的 意义 ， 只 不 过 是 一 个 权 
衡 之 下 的 结果 。 如 果 这 个 周期 太 短 ， 难 度 会 随 着 每 一 个 周期 找到 的 区 块 
的 数目 的 不 同 而 波动 (概率 问题 ) 。 如 果 太 长 ， 整 个 网 络 的 哈 希 算 力 会 
与 难度 大 大 地 失去 平衡 《难度 的 调整 滞后 于 计算 能 力 的 变化 ) 。 


每 个 比特 币 矿工 独立 地 计算 难度 ， 只 接受 达到 这 个 难度 的 区 块 。 两 
个 在 不 同 分 又 上 的 矿工 可 能 会 有 不 同 的 计算 难 腻 ， 但 在 同一 个 区 块 工作 
的 矿工 一 定 会 对 计算 难度 达成 共识 。 


图 5.3 中 显示 ， 挖 矿难 度 会 随 着 时 间 不 断 地 增加 。 其 增加 不 一 定 是 
稳定 线性 或 者 是 指数 型 ， 而 古 取 决 于 市 场 行为 。 控 矿难 度 会 受到 有 多 少 
新 矿工 加 入 的 影响 ， 新 矿工 的 加 入 本 身 又 由 比特 币 的 当前 价格 来 决定 。 
总 的 来 说 ， 当 越 来 越 多 的 矿工 加 入 并 且 挖 矿 的 人 硬件 设备 效率 越 来 越 高 ， 
找到 有 效 区 块 所 花费 的 时 间 束 会 越 短 ， 紧 接着 难度 束 会 增加 ， 直 到 重新 
回 到 每 10 分 钟 找到 下 一 个 有 效 区 块 。 


在 图 5.3 中 ， 虽 然 整 个 网 络 的 哈 希 速度 是 平滑 向 上 增长 的 ， 那 条 实 
线 代 表 的 难度 却 呈 现 阶梯 函数 式 增 长 。 这 是 因为 每 产生 2 ”016 个 区 块 才 
会 调整 计算 难度 。 


比特 币 哈 希 速度 vs 控 矿 难度 ( 两 个 月 ) 


哈 希 速度 (1008 ) 
一 挖 矿难 度 


哄 8 月 
图 5. 3 挖 矿难 度 随 时 间 变 化 〈2014 年 年 中 ) 

注 : y 轴 开始 于 80 000TH/s 〈 全 网 算 力 ) 。 哈 希 速 度 是 基于 超过 1 008 个 区 块 计算 出 
来 的 平均 值 。 
资料 来 源 : bitcoinwisdom. com 

可 以 从 另外 一 个 角度 来 看 网 络 增长 率 ， 即 看 平均 要 多 长 时 间 才 能 找 
到 一 个 有 效 区 块 。 图 5.4 (a) 展示 出 区 块 链 上 两 个 连续 区 块 产生 的 间隔 
时 间 是 多 少 秒 。 它 逐渐 下 降 ， 跳 升 ， 又 逐渐 下 降 。 当 然 产 生 这 种 现象 的 
原因 就 是 每 2 ”016 个 区 块 之 后 ， 难 度 重 新 被 设 定 ， 找 到 区 块 的 时 间 又 重 
新 回 到 大 约 10 分 钟 。 虽 然 一 个 调整 周期 内 难度 都 不 会 变 ， 但 是 随 着 越 来 
越 多 的 矿工 加 入 ， 全 网 哈 希 算 力 增 加 而 难度 不 变 ， 找 到 有 效 区 块 的 速度 
越 来 越 快 ， 直 到 大 概 两 个 星期 内 2 ”016 个 区 块 被 发 现 之 后 ， 难 度 会 被 重 
新 调整 。 

比特 币 有 效 区 块 产生 所 耗费 的 时 间 vs 挖 矿难 度 
有 效 区 块 产生 所 耗费 的 时 间 (2 016 )|\ 


一 挖 矿难 度 和 Ww I 4.5e+09 

， 喘 是 _ 3.5e+09 控 

2.5e+09 ~ 
2.0e+09 


2 月 8 月 


图 5.4 (a) 找到 一 个 有 效 区 块 所 花费 的 时 间 (2014 年 早期 ) 
注 : y 轴 开始 于 460 秒 。 找 到 一 个 有 效 区 块 花费 的 时 间 是 2 016 个 区 块 样本 花费 时 间 的 


平均 值 。 由 于 当时 全 网 挖 矿 速度 的 连续 快速 增长 ， 找 到 一 个 有 效 区 块 所 花费 的 时 间 
在 两 周 的 时 间 内 稳步 减少 。 
资料 来 源 : bitcoinwisdom. com 


比特 币 有 效 区 块 产生 所 耗费 的 时 间 vs 挖 矿难 度 


RE 3 $5.2e+10 
有 效 区 块 产生 所 耗费 的 时 间 (2 016) 
上 5.0e+10 控 
600 | 
h | | x 
和 580 | | -4.8e+10 度 
| | | 
-4.6e+10 


图 5.4 (b) 找到 一 个 有 效 区 块 所 花费 的 时 间 (2015 年 早期 ) 
注 : y 轴 开始 于 540 秒 。 找 到 一 个 有 效 区 块 花费 的 时 间 是 2 016 个 区 块 样本 建造 时 间 的 
平均 值 。 由 于 整个 网 络 增长 开始 减速 ， 所 以 找到 有 效 区 块 的 平均 时 间 非 常 接近 10 分 
钟 ， 偶 尔 还 会 因为 全 网 算 力 缩小 而 超过 10 分 钟 。 
资料 来 源 : bitcoinwisdom. com 


即使 找到 有 效 区 块 的 时 间 目 标 被 设 定 为 平均 10 分 钟 ， 但 是 在 2013 年 
和 2014 年 的 大 多 数 时 间 ， 这 个 时 间 平 均 是 9 分 钟 左 右 ， 并 且 在 两 周 的 周 
期 末尾 阶段 时 接近 8 分 钟 。 计 算 表 明 ， 全 网 运算 能 力 的 增 速 大 概 是 每 两 
周 25%， 或 者 每 年 几 百 倍 ， 这 个 数字 非常 惊人 。 


不 出 所 料 ， 这 种 增长 不 会 无 休止 地 进行 ，2015 年 的 增 速 就 降低 很 多 
《偶尔 也 会 负增长 ) 。 在 图 5.4 (b) 中 ， 我 们 可 以 看 到 全 网 哈 希 算 力 达 
到 了 一 个 稳定 的 状态 ， 发 现 每 个 区 块 的 时 间 非 常 接近 10 分 钟 ， 甚 至 有 时 
会 超过 10 分 钟 ， 在 这 种 情况 下 难度 将 会 被 调 低 。 这 种 曾经 被 认为 不 可 想 
象 的 状况 却 在 2015 年 频繁 发 生 。 


虽然 到 目前 为 止 ， 全 网 哈 希 算 力 还 没有 经 历 过 灾难 性 的 倒退 ， 但 是 
并 不 排除 它 发 生 的 可 能 性 。 一 个 有 关 比 特 币 衣 盘 的 设想 被 称 作 “死亡 螺 
旋 ”， 不 断 下 降 的 比特 币 价 格 导 致 控 矿 无 利 可 图 ， 夏 工 们 因此 而 退出 控 
矿 〈 全 网 运算 能 力 下 降 ) ， 继 而 进一步 导致 价格 下 跌 。 


1. 如 果 下 一 个 区 块 始 于 其 他 人 发 现 的 有 效 区 块 ， 你 发 现 的 这 个 区 块 就 会 变 成 无 效 区 块 
而 被 丢弃 。 一 一 译 者 注 


5.2 控 矿 所 需 硬 件 


前 面 我 们 谈 到 矿工 所 要 做 的 计算 是 十 分 困难 的 。 我 们 现在 谈 一 下 为 
什么 计算 如 此 困难 ， 以 及 看 一 看 矿工 用 来 进行 这 些 计 算 所 用 到 的 硬件 设 
备 。 


矿工 计算 难度 的 核心 在 于 ， 对 SHA-256 哈 希 函数 的 运算 。 我 们 在 第 
1 章 抽象 地 讨论 过 哈 希 函数 。SHA-256 是 一 个 通用 的 密码 学 哈 希 函 数 ， 
它 是 在 2001 年 被 标准 化 的 密码 学 哈 希 函数 大 家 族 里 的 一 员 。SHA 是 安全 
哈 希 算法 (Secure Hash Algorithm) 的 简称 。SHA-256 是 一 个 不 错 的 选 
择 ， 因 为 它 是 比特 币 被 发 明 时 可 用 的 密码 学 哈 希 函 数 中 保密 性 最 强 的 。 
虽然 它 的 安全 性 有 可 能 随 着 时 间 推 移 而 慢 慢 降低 ， 但 至 少 现在 它 还 是 很 
安全 的 。SHA-256 的 设计 来 自 美 国 国 家 安全 局 (NSA) ， 这 也 导致 了 一 
些 阴谋 论 的 诞生 ， 但 是 并 不 影响 它 是 一 个 很 强 的 哈 希 函 数 的 事实 。 


近 距 离 了 解 SHA-256 


图 5.5 展 示 了 SHA-256 运 算 的 具体 细节 ， 虽 然 我 们 不 需要 知道 比特 币 


工作 原理 的 所 有 细节 ， 但 是 对 矿工 计算 任务 的 大 概 了 解 是 很 有 帮助 的 。 


SHA 家 族 


SHA-256 名 称 中 的 “256” 代 表 它 有 256 位 的 状态 和 输出 ， 技 术 上 来 
说 ，SHA-256 是 SHA-2 函 数 家 族 中 几 个 密切 相关 的 函数 成 员 之 一 ， 包 


括 SHA-512 〈 它 有 更 大 的 状态 位 ， 所 以 也 更 加 安全 ) 。 还 有 一 个 是 
SHA-1， 这 是 一 个 有 160 位 输出 的 早期 函数 ， 虽 然 目前 认为 安全 性 不 
高 ， 但 是 同样 应 该 在 比特 币 脚 本 里 。 


整个 SHA-2 家 族 ， 包 括 SHA-256 在 密码 学 上 的 安全 性 是 得 到 公认 
的 ， 而 下 一 代 产 品 SHA-3 家 族 已 经 从 一 个 公开 的 竞赛 〈 由 美国 国家 标 
准 与 技术 研究 所 举办 ) 中 诞生 了 。SHA-3 目 前 正在 进行 最 后 阶段 的 标 
准 化 测试 ， 但 在 比特 币 出 现 的 时 候 ， 它 还 没有 出 世 。 


SHA-256 是 一 个 256 位 的 状态 机 。 这 256 个 状态 被 分 割 成 8 个 32 位 的 
字段 ， 这 样 它 可 以 最 优化 地 运行 在 32 位 的 硬件 上 。 每 一 轮 运算 选择 一 定 
数量 的 字段 一 一 有 些 会 进行 一 些小 的 逐 位 调整 一 一 最 终 进 行 32 位 模 加 法 
运算 (modular addition)， 然 后 运算 结果 被 移 到 状态 最 左 的 第 一 个 字段 ， 
这 样 使 得 整个 状态 进行 向 右 位 移 。 这 种 设计 的 思路 来 自 简单 位 的 线性 反 
馈 移 位 寄存 器 (Linear Feedback Shift Registers， 简 称 LFSR)。 


图 5.5 展 示 了 一 轮 SHA-256 的 压缩 函数 运算 ， 一 个 完整 的 SHA-256 运 
算 要 做 64 次 这 样 的 迭代 运算 ， 在 每 一 轮 运算 中 ， 会 使 用 稍微 不 同 的 常 
数 ， 所 以 所 有 的 迭代 运算 都 是 不 一 样 的 。 


人 矿工 的 任务 束 是 尽 可 能 快 地 进行 这 种 函数 运算 。 人 矿工 们 互相 比拼 运 
算 速度 ， 算 得 越 快 收 益 越 遍 。 为 了 实现 尽 可 能 快 的 速度 ， 矿 工 需要 进行 
32 位 字段 操控 ，32 位 模 加 法 运算 ， 同 时 做 按 位 逻辑 运算 。 


256 结 构图 


64 次 
循环 
迭代 


的 


我 们 很 快 就 会 看 到 ， 在 比特 币 机 制 下 ， 为 了 得 到 供 其 他 节点 使 用 的 
哈 希 函数 ， 实 际 上 要 求 两 轮 SHA-256 运 算 。 这 是 比特 币 的 奇怪 之 处 ， 进 
行 两 次 运算 的 原因 并 不 清楚 ， 但 这 就 是 比特 币 的 个 性 ， 作 为 比特 币 矿 工 
只 能 服从 。 


CPU 控 矿 


一 代 挖 矿工 作 都 是 在 普通 电脑 上 完成 的 ， 也 就 是 用 通用 中 央 处 理 
器 (CPU) 来 进行 运算 。 事 实 上 ，CPU 挖 矿 的 工作 就 像 图 5.6 中 代码 所 示 
的 逻辑 那样 简单 ， 也 就 是 说 ， 矿 工人 简单 地 按照 线性 的 方式 尝试 所 有 的 临 
时 随机 数 ， 在 软件 中 进行 SHA-256 的 运算 ， 并 检查 吉 果 确认 是 否 找 到 一 
个 有 效 区 块 。 请 注意 ， 正 如 我 们 之 前 提 到 过 的 ， 这 段 代 码 要 进行 两 次 
SHA-256 运 算 。 


TARGET = (65535 << 268) / DIFFICULTY ; 
coinbase nonce = 0; 
while (1) { 
header = makeBlockHeader(transactions, coinbase nonce); 
for (header nonce = 6;j header nonce «< (1 << 32); header nonce++)t{ 
if (SHA256(SHA256(makeBlock(header, header nonce))) «< TARGET) 
break; //block found! 
; 


coinbase_nonce++; 


图 5.6 CPU 挖 矿 的 伪 代 码 
普通 电脑 运行 这 段 代 码 到 底 有 多 快 ? 一 台 高 端的 个 人 桌面 电脑 ， 每 
秒 可 以 计算 大 约 2 二 万 次 哈 希 函 数 〈20MH/s) ， 按 照 这 个 速度 ， 根 据 


2015 年 早期 的 难度 水 平 (2%”) ， 大 概 需要 几 十 万 年 来 找到 一 个 有 效 区 
块 。 坚 不 夸张 地 说 ， 挖 矿 真 的 非常 困难 ! 


如 今 使 用 一 个 普通 电脑 用 CPU 控 比特 币 ， 在 目前 的 难度 下 已 经 无 利 
可 图 了 。 在 过 去 的 几 年 里 ， 用 CPU 挖 矿 的 旷工 可 能 会 非常 失望 地 发 现 ， 
他 们 永远 不 可 能 通过 挖 矿 赚 到 钱 ， 因 为 他 们 不 了 解 比特 币 是 如 何 运行 
的 。 


GPU 挖 矿 


第 二 代 矿 工 意识 到 用 CPU 控 矿 是 在 做 无 用 功 ， 他 们 开始 用 显卡 或 者 
图 形 处 理 器 (GPU) 来 挖 。 


几乎 每 一 个 现代 个 人 电脑 都 有 内 置 的 GPU 以 支持 高 性 能 图 像 处 理 ， 
这 些 GPU 都 有 高 吞吐 量 和 高 并 行 处 理 功能 ， 这 两 点 对 比特 币 挖 矿 都 非常 
有 利 ， 比 特 币 挖 人 矿 存 在 大 量 的 并 行 处 理 ， 因 为 你 需要 同时 用 不 同 的 临时 
随机 数 计算 多 个 哈 希 值 。2010 年 ， 有 一 门 计 算 机 语言 开放 运算 语言 
(Open Computing Language， 简 称 OpenCL ) 诞生 了 ， 这 是 一 个 可 以 使 


GPU 进行 非 图 像 处 理 类 工作 的 通用 语言 。OpenCL 是 一 门 高 级 语言 ， 人 
们 可 以 用 它 在 显卡 上 做 很 多 种 类 型 的 运算 ， 而 且 速 度 比 在 CPU 上 的 要 
快 。 这 给 通过 GPU 来 进行 比特 币 挖 矿 铺 平 了 道路 。 


当时 ， 通 过 显卡 来 控 矿 有 好 几 个 吸引 人 的 地 方 。 首 先 ， 买 显卡 很 容 
易 ， 而 且 哪 怕 是 业余 爱好 者 也 能 轻松 配置 显卡 。 你 可 以 在 网 上 或 大 多 数 
专营 电子 产品 的 商场 里 买 到 它 。 对 大 众 来 说 ， 显 卡 是 最 容易 获得 的 高 端 
硬件 设备 。 其 次 ， 显 卡 还 有 一 些 格外 适合 比特 币 挖 矿 的 特性 显卡 的 并 
行 性 设计 使 其 具备 很 多 算术 逻辑 单元 (Arithmetic Logic Units， 简 称 
ALU) ， 可 以 同时 进行 SHA-256 运 算 。 有 一 些 GPU 还 特别 集成 了 针对 位 
移 操作 的 指令 ， 这 对 SHA-256 的 运算 非常 有 用 。 


大 多 数 显卡 都 可 以 超频 ， 这 意味 着 如 果 你 愿意 承担 显卡 过 热 或 者 出 
现 故 障 的 风险 的 话 ， 你 可 以 让 显卡 以 高 于 设计 频率 的 频率 更 快 地 运行 。 
超频 是 游戏 玩家 们 询 望 了 多 年 的 特性 。 对 于 比特 币 控 矿 来 说 ， 超 频 会 增 
加 收益 ， 即 使 超频 可 能 引起 一 些 运算 错误 。 


举例 来 说 ， 将 显卡 超频 50%， 也 就 是 说 运算 速度 加 快 50%， 同 时 可 
能 会 造成 SHA-256 运 算出 错 概率 增加 30%。 如 果 显 卡 错误 地 接受 了 一 个 
不 正确 的 运算 结果 一 虽然 不 太 可 能 发 生 一 一 你 还 可 以 通过 CPU 来 进行 
二 次 确认 。 然 而 ， 你 可 能 永远 都 不 会 知道 一 个 正确 的 运算 结果 被 错过 
了 。 但 是 通过 超频 产生 的 运算 速度 的 增加 ， 完 全 可 以 抵消 由 于 显卡 运行 
错误 产生 的 正确 输出 减少 ， 这 样 超频 还 是 合算 的 (从 经 济 效益 上 来 
说 ) 。 在 上 述 的 例子 中 ， 超 频 使 得 吞吐 量 增加 到 原来 的 1.5 倍 ， 而 运算 
成 功率 降低 到 了 0.7， 那 么 乘积 就 是 1.05， 也 就 是 意味 着 超频 使 得 你 的 获 
利 增 加 了 59%。 为 了 最 大 化 收益 ， 人 们 花 了 很 多 时 间 去 优化 最 佳 的 超频 
比例 。 


最 后 ， 你 可 以 通过 一 个 CPU 和 一 个 主板 加 载 许多 个 GPU。 然 后 你 便 
可 以 在 安装 了 多 个 GPU 的 电脑 上 运行 比特 币 节 点 ， 监 听 网 络 收集 交易 ， 
组 装 区 块 ， 同 时 用 多 个 GPU 进行 SHA-256 的 运算 ， 以 更 快 地 找到 正确 的 


临时 随机 数 及 其 对 应 的 有 效 区 块 。 很 多 人 创造 性 地 发 明了 很 多 有 趣 

的 “自制 型 ”硬件 设置 ， 如 图 5.7 所 示 ， 用 一 个 CPU 来 驱动 很 多 个 GPU。 这 
种 情况 仅 发 生 在 比特 币 的 早期 ， 当 时 大 多 数 矿工 都 是 比特 币 的 爱好 者 ， 
他 们 并 不 具备 服务 器 搭建 及 运营 经 验 。 但 是 他 们 还 是 做 了 很 多 巧妙 的 设 
计 ， 使 得 大 量 的 GPU 可 以 在 一 个 较 小 的 空间 里 同时 运行 ， 同 时 还 解决 了 
散热 的 问题 。 


GPU 控 矿 的 缺点 


GPU 挖 矿 也 有 缺点 。GPU 有 大 量 的 内 置 便 件 来 进行 图 形 处 理 ， 这 些 
特定 便 件 对 比特 币 控 矿 没有 任何 用 处 ， 比 如 它们 大 量 的 浮 点 运算 单元 
(floating point units) ， 在 SHA-256 的 运算 中 完全 用 不 到 。 


矿工 和 游戏 玩家 的 对 比 


根据 民间 传说 ，2011 年 ， 由 于 比特 币 矿 工 玉 购 了 太 多 的 显卡 以 至 
于 影响 到 了 下 第 的 市 场 需求 ， 这 造成 了 比特 币 社 区 和 游戏 社区 之 间 的 
摩擦 ， 因 为 游戏 玩家 们 发 现 采 购 某 个 热门 显卡 变 得 越 来 越 难 。 有 趣 的 
是 ， 尽 管 如 此 ， 很 多 失望 的 游戏 玩家 因此 而 对 比特 币 产生 了 兴趣 ， 其 
至 有 些 游戏 玩家 因此 而 变 成 了 比特 币 矿工 ! 


忆 ss AAA 


图 5.7 一 个 用 于 比特 币 挖 矿 的 
资料 来 源 : lstvan Finta, bitcointalk. org 
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家 庭 组 装 式 GPU 机 架 


同时 GPU 也 没有 很 好 的 冷却 处 理 设 置 ， 尤 其 是 当 你 把 大 量 的 GPU 堆 
放 在 一 起 的 时 候 ， 这 个 问题 就 尤为 突出 。 设 计 显 卡 的 时 候 并 没有 考虑 如 
图 5.7 所 示 的 这 种 堆放 的 情形 ， 原 始 的 设计 场景 就 是 在 一 台电 脑 、 一 个 
机 箱 、 一 块 显卡 运行 做 图 形 处 理 而 已 。 


GPU 也 非常 耗 电 ， 所 以 一 人 台 普 通 的 电脑 也 会 消耗 很 多 电 。 由 此 引发 
的 为 一 个 缺点 就 是 ， 你 要 么 目 己 构建 特定 的 主板 ， 要 么 花 大 价钱 购买 可 
以 搭载 大 量 显卡 的 特定 的 主板 。 


一 个 非常 高 端的 显卡 经 过 超频 之 后 可 能 使 得 运行 速度 达到 
200MHS， 也 束 是 说 ， 每 秒 可 以 进行 2 亿 次 哈 希 运算 ， 这 是 用 CPU 不 可 
能 达到 的 一 个 数量 级 。 但 是 即便 如 此 ， 即 使 你 将 100 块 这 样 的 显卡 集成 


在 一 起 进行 运算 ， 根 据 2015 年 早期 的 比特 币 挖 矿难 度 ， 仍 旧 需 要 运算 几 
百年 才 有 可 能 找到 一 个 有 效 区 块 。 因 此 ， 用 GPU 来 挖 矿 基 本 上 已 经 成 为 
历史 ,但 是 在 其 他 一 些 为 类 币 的 早期 阶段 还 是 很 有 效率 的 。 


现场 可 编程 门 阵列 挖 矿 


2011 年 左右 ， 用 于 现场 可 编程 门 阵列 (Field-Programmable Gate 
Array， 简 称 FPGA) 的 人 硬件 设计 语言 Verilog， 第 一 次 用 于 比特 币 挖 矿 
一 些 矿 工 开 始 用 FPGA 来 代替 GPU 进行 挖 矿 。 


图 5. 8 家 庭 组 装 式 FPGA 机 架 
资料 来 源 : Xiangfu Liu，www. openmobilefree. net 


FPGA 的 工作 原理 是 在 人 退 求 定制 硬件 的 最 佳 性 能 的 同时 ， 用 户 可 以 


现场 调试 或 者 修改 人 硬件 参数 。 相 比 之 下 ， 常 用 的 硬件 是 在 出 三 之 前 就 设 
计 好 的 ， 以 后 是 无 法 更 改定 制 而 只 能 永远 做 同样 的 工作 。 


FPGA 比 GPU 的 性 能 好 ， 特 别 是 在 数位 操作 (bit fiddling) 方面 
FPGA 很 轻易 就 可 以 做 到 。FPGA 也 很 容易 冷却 ， 不 像 GPU，FPGA 理 论 
上 可 以 使 用 硬件 板 卡 上 的 每 一 个 品 体 管 进行 挖 矿 运算 。 跟 GPU 一 样 ， 可 
以 将 很 多 FPGA 堆 闭 在 一 起 ， 通 过 一 个 中 央 处 理 单元 来 驱动 所 有 的 
FPGA， 如 图 5.8 所 示 。 总 体 来 说 ， 相 比 显 卡 堆 疼 ， 我 们 可 以 构建 一 个 更 
加 干净 整洁 的 大 型 FPGA 阵 列 。 


精心 使 用 FPGA 可 以 使 得 运算 速度 上 升 到 1GHs， 也 就 是 每 秒 10 亿 次 
哈 希 运 算 。 这 显然 比 CPU 或 者 GPU 在 性 能 上 都 有 很 大 的 提高 ， 不 过 即使 
你 有 100 块 每 秒 运算 1GH/s 的 FPGA 板 ， 在 2015 年 早期 的 比特 币 难 度 之 
下 ， 平 均 仍旧 需要 100 年 的 时 间 才 能 找到 一 个 有 效 区 块 。 


虽然 性 能 提高 了 ， 但 由 于 以 下 几 个 原因 ， 用 FPGA 挖 矿 的 时 代 也 非 
常 短暂 : 首先 ， 使 用 FPGA 来 挖 矿 其 实 更 加 困难 一 一 几乎 需要 一 直 超 频 
使 用 一 一 这 远 超 FPGA 供 普通 消费 者 而 设 定 的 频率 。 因 为 这 个 原因 ， 很 
多 人 在 用 FPGA 挖 矿 的 时 候 经 常 看 到 各 种 报错 和 故障 。 其 次 ， 优 化 FPGA 
的 32 位 加 法 处 理 上 十 分 困难 ， 而 这 在 SHA-256 的 运算 中 非常 关键 。 最 
后 ，FPGA 在 多 数 商店 都 买 不 到 ， 而 且 相 比 GPU 来 说 ， 只 有 少数 人 才 知 
道 怎 么 搭建 FPGA 并 进行 相应 的 编程 。 


最 重要 的 是 ， 即 使 在 性 能 功 耗 比方 面 ，FPGA 相 比 GPU 的 提升 也 不 
是 很 高 ， 这 就 使 得 用 FPGA 控 人 矿 只 是 一 个 短期 现象 。 尺 管 GPU 控 矿 的 时 
代 持 续 了 大 约 一 年 ， 而 FPGA 存 在 的 时 间 更 加 有 限 一 一 仅仅 存在 了 几 个 
月 ， 之 后 定制 化 的 专用 集成 电路 技术 (Application Specific Integrated 
Circuits， 简 称 ASIC) 就 证 生 了 。 


专用 集成 电路 技术 挖 矿 


当今 的 挖 矿 市 场 主要 被 ASIC 所 主导 。 这 些 IC 必 片 “集成 电路 心 
片 ) 被 设计 、 制 造 、 优 化 ， 就 是 为 了 比特 币 挖 矿 这 个 唯一 目的 。 有 几 个 
大 型 的 供应 商 出 售 这 些 必 片 ， 消 费 者 可 以 买 到 不 同 种 类 的 ASIC 丰 机 
较 大 型 但 略微 郧 贯 点 的 亚 式 ， 或 者 更 加 小 巧 的 ， 当 然 还 有 一 些 可 以 
节省 能 源 的 环保 型 等 。 


设计 ASIC 心 片 需要 非常 专业 的 知识 ， 它 们 所 需要 的 研发 周期 也 比 
较 长 。 尽 管 如 此 ， 比 特 币 ASIC 忌 片 的 设计 制造 过 程 〈《 从 发 现 问 题 到 制 
作出 解决 问题 的 芯片 ) 出 乎 意料 地 迅速 ， 甚 至 打破 了 怪 片 行业 的 业界 纪 
录 。 但 整 问 是 前 几 代 的 早期 芯片 的 设计 有 许多 缺陷 ， 而 且 大 多 数 必 卢 没 
有 达到 它们 所 承 详 的 性 能 指标 。 但 现在 的 比特 币 矿 机 芯片 技术 ， 己 经 相 
当成 熟 可 靠 了 。 


到 2014 年 年 底 ，ASIC 心 片 的 寿命 十 分 短暂 ， 原 因 是 整个 网 络 的 运 
算 能 力 不 断 地 快速 上 升 。 绝 大 部 分 早期 的 ASIC 忌 片 在 6 个 月 后 就 被 淘汰 
了 。 在 这 段 时 间 里 ， 大 部 分 的 利润 都 是 在 早期 实现 的 (后 期 几乎 没有 什 
么 利润 了 ) 。 矿 工 往往 在 ASIC 蕊 片 “ 保 鲜 期 ”的 前 6 个 星期 可 以 实现 整个 
利润 的 一 半 ， 这 就 使 得 芯片 的 出 货 速度 显得 至 关 重 要 。 基 于 这 个 行业 的 
不 成 熟 ， 许 多 矿工 经 常 遇 到 延迟 出 货 的 情况 ， 有 些 心 片 送 到 客户 手 上 的 
时 候 已 经 快要 被 淘汰 了 。 由 于 比特 币 的 全 网 运算 能 力 已 经 稳定 下 来 ， 现 
在 的 比特 币 挖 矿 设备 有 比较 长 的 寿命 ， 但 在 早期 ， 失 望 的 客户 对 供应 商 
的 欺诈 控诉 的 事件 时 有 发 生 。 


在 比特 币 历史 的 大 部 分 时 间 里 ， 挖 矿 的 经 济 效 益 对 小 矿工 来 说 一 直 
不 是 很 好 ， 这 些小 矿工 们 需要 通过 在 线 预 定 矿 机 ， 等 待 矿 机 生产 送 货 ， 
然后 再 开始 挖 矿 赚钱 。 实 际 上 ， 大 多 数 情 况 下 ， 由 于 不 断 增加 的 挖掘 难 
度 ， 很 多 人 是 一 开始 就 注定 要 亏 钱 的 。 好 在 到 2013 年 的 时 候 ， 比 特 币 价 
格 大 涨 ， 彻 底 扭 转 了 比特 币 矿 工 亏 钱 的 状况 。 实 际 上 ， 挖 掘 比 特 币 一 直 
是 一 个 很 昂贵 的 投资 ， 因 为 要 赌注 比特 币 的 价格 会 上 升 ， 即 使 是 在 挖掘 
比特 币 中 赚钱 的 那些 矿工 ， 如 果 能 够 把 投资 于 挖掘 设备 的 钱 直接 用 于 购 


买 比 特 币 ， 并 在 鳃 利 时 卖 挥 ， 这 样 他 们 的 状况 会 更 好 些 。 


如 今 你 仍然 可 以 购买 矿 机 ， 我 们 也 不 会 劝阻 你 通过 这 种 方式 去 了 解 
比特 币 和 加 密 数 字 货 币 ， 但 是 我 们 再 次 强调 ， 这 不 是 一 个 明智 的 生财 之 
道 。 考 虑 到 矿 机 运行 所 需要 耗费 的 电力 成 本 以 及 冷却 成 本 ， 大 多 数 
ASIC 矿 机 都 无 法 靠 挖 矿 来 赚 回 成 本 。 


如 今 : 专业 挖 矿 的 天 下 


在 今天 ， 挖 矿 已 经 从 个 人 领域 转 到 了 大 型 专业 控 矿 中 心 。 为 了 保持 
苋 争 优势 ， 运 作 这 些 控 矿 中 心 的 公司 不 愿意 公布 其 运营 细 市 。 据 猜测 ， 
这 些 运营 者 大 量 采 购 打 过 折 的 更 新 的 功效 更 高 的 ASIC 矿 机 而 不 是 采购 
那些 能 够 直接 出 售 给 个 人 的 ASIC 矿 机 来 维持 利润 。 


_ 图 5.9 就 是 一 个 在 格鲁吉亚 运作 的 控 矿 中心 的 图 片 。 


图 5.9 Bitfury 的 挖 矿 中 心 
注 : 在 格鲁吉亚 运作 的 专业 挖 矿 中 心 。 


要 建立 一 个 挖 矿 中 心 ， 需 要 具备 三 个 重要 因素 : 气候 、 电 费 、 网 络 
接 入 速度 。 尤 其 是 要 找 一 个 气温 偶 寒 的 地 方 ， 这 样 可 以 节省 冷却 费用 
《大 型 计算 中 心 会 产生 大 量 的 热量 ， 如 不 马上 降温 ， 会 损害 矿 机 ) 。 冷 
却 是 比特 币 挖 矿 最 大 的 挑战 ， 其 挖 矿 本 里 的 耗 电量 ， 用 单位 面积 来 算 要 
超过 传统 的 数据 中 心 ， 所 以 也 会 产生 差不多 当量 的 热量 需要 冷却 。 当 然 
那里 的 电费 要 便宜 。 男 外 ， 接 入 网 速 要 快 ， 使 得 与 比特 币 网 络 中 的 其 他 
节点 更 快速 地 链接 ， 这 样 当 新 的 区 块 补 广播 出 来 的 时 候 ， 你 可 以 很 快 监 
听 到 。 基 于 这 些 考量 ， 所 以 格鲁吉亚 和 订 马 成 为 比特 币 控 矿 中 心 的 首选 
之 地 。 


与 挖 金太 的 相似 之 处 


尽管 比特 币 挖 矿 这 个 名 词 起 得 很 有 意思 ， 如 果 回 顾 比 特 币 控 丰 的 发 
展 历程 ， 我 们 就 不 难 发 现 其 与 历史 上 的 挖 金 矿 有 着 有 趣 的 相似 之 处 。 它 
们 都 开始 于 类 似 的 淘金 者 热潮 ， 很 多 年 轻 人 和 业余 爱好 者 积极 地 参与 其 
中 。 


比特 币 挖 矿 经 历 了 一 个 逐渐 演化 的 过 程 : 从 CPU 到 GPU， 再 到 
FPGA， 最 终 达 到 现在 的 ASIC。 而 历史 上 的 挖 金 矿 则 是 从 个 人 拿 着 盘子 
在 沙里 淘金 ， 到 一 小 群 人 用 流沙 模 来 淘金 ， 再 到 一 群 人 用 水 冲刷 金山 来 
淘金 ， 直 到 现代 机 械 化 露天 挖 矿 〈 如 图 5.10) 。 比 特 币 与 黄金 都 从 个 人 
操作 为 主 逐 步 演变 为 大 公司 专业 运作 。 另 外 一 个 相似 点 就 是 ， 大 多 数 的 
利 油 都 被 设备 制造 商 拿 走 了 ， 不 管 是 黄金 采掘 设备 还 是 比特 币 ASIC 矿 
机 生产 商 ， 而 埋单 的 都 是 那些 希望 一 夜 致富 的 人 。 


CPU GPU FPGA ASIC 


CT 


淘金 用 的 盘 ”流沙 模 。 ”水 冲刷 淘金 露天 机 械 化 控 矿 


图 5. 10 Aaa de 
注 : 我 们 可 以 看 到 ， 比 特 币 挖 矿 和 黄金 采掘 进程 有 一 个 清晰 的 类 似 进程 ， 两 种 活动 
0 但 是 随 着 时 间 的 推移 ， 被 大 型 公司 采取 集中 式 大 批量 
运作 控制 


未 来 


现在 ， 用 ASIC 挖 矿 是 唯一 一 种 可 以 赚钱 的 比特 币 挖 矿 手段 ， 但 对 
个 体 不 工 来 说 ， 是 十 分 不 友好 的 。 人 们 不 蔡 要 问 ， 未 来 会 如 何 发 展 ? 小 
规模 矿工 是 否 水 远 不 可 能 再 参与 到 比特 币 挖 矿 中 ?是 否 有 办 法 把 小 规模 
矿工 重新 纳入 挖 矿 体 系 中 去 ? 更 重要 的 是 ， 现 在 使 用 的 ASIC 和 专业 挖 
矿 中 心 是 否 已 经 违反 了 比特 币 当 初 设计 的 初衷 :一 个 完全 去 中 心 化 的 系 
统 ， 在 这 个 系统 上 里 每 个 人 都 能 用 自己 的 电脑 去 挖 矿 。 


此 外 ， 如 果 这 已 经 违背 了 中 本 聪 对 比特 币 的 最 初 设计 ， 换 成 系统 只 
允许 CPU 来 挖 矿 是 不 是 更 好 ? 我 们 将 在 第 8 章 探 讨 这 些 问 题 ， 以 及 一 些 
对 ASIC 不 友好 的 蔡 代 方案 。 


目 我 循环 周期 


事实 上 ， 有 一 些 规模 较 小 的 另类 币 已 经 使 用 了 和 SHA-256 不 同 的 解 
谜 算法 ， 但 是 它们 的 挖 矿 发 展 轨 迹 和 比特 币 没 有 什么 不 同 。 我 们 将 在 第 
8 章 到 第 10 章 更 深入 地 讨论 这 些 另 类 币 ， 但 是 请 记 住 ，ASIC 的 研发 和 生 
产 有 着 比较 长 的 时 间 周 期 ， 所 以 如 果 一 个 使 用 新 的 解 谜 算法 的 另类 币 
《即使 只 是 在 SHA-256 的 基础 上 做 一 点 修改 ) ， 在 有 针对 性 的 ASIC 面 世 
之 前 还 是 会 有 一 段 时间 。 通 常 跟 比 特 币 一 样 ， 其 他 男 类 币 的 挖 矿 发 展 也 
会 经 历 从 CPU 到 GPU， 再 到 FPGA， 或 者 直接 到 ASIC 的 过 程 〈 前 提 是 这 
个 另类 币 非常 成 功 ， 比 如 莱特 币 ) 。 


因此 ， 小 规模 夏 工 的 策略 也 许 应 该 是 尝试 一 些 新 的 另类 币 ， 在 它们 
的 价值 还 没有 足够 大 到 吸引 大 型 控 矿 集团 投资 的 时 候 ， 成 为 这 些 另 类 币 
的 挖 矿 先 行者 ， 就 跟 黄 金 采 掘 的 过 程 一 样 ， 小 规模 矿工 可 以 去 尝试 那些 
还 没有 被 证 明 储 量 的 区 域 。 当 然 ， 这 也 意味 着 先行 者 们 将 会 面临 一 个 重 
大 的 风险 ， 也 就 是 这 些 另 类 币 有 可 能 永远 不 会 成 功 。 


5.3 能 源 消 耗 和 生态 环 你 


我 们 看 到 大 型 职业 化 挖掘 中 心 是 如 何 接管 了 比特 币 的 挖掘 工作 ， 我 
们 也 看 到 比特 币 挖掘 与 历史 上 的 淘金 热 有 多 么 类 似 。 时 至 今日 ， 金 矿 开 
采 一 直 被 环保 问题 所 困扰 ， 比 特 币 挖 矿 虽 然 还 没有 达到 那个 程度 ， 但 它 
己 经 开始 消耗 大 量 能 源 ， 这 已 经 成 为 热门 话题 。 本 市 中 ， 我 们 将 着 重 讨 
论 比特 币 挖 矿 的 能 源 消耗 问题 ， 以 及 其 对 货币 系统 和 地 球 生 态 的 影响 。 


热力 学 限制 


根据 热力 学 里 的 蓝 道 尔 原理 (Landauer's ”principle, 蓝 道 尔 是 前 苏联 
20 世 纪 60 年 代 天 才 物 理学 家 ) ， 任 何 一 个 不 可 逆转 的 计算 都 会 消耗 一 定 
的 能 源 ， 有 逻辑 上 来 说 ， 这 种 计算 也 可 以 被 认为 是 一 种 信息 丢失 的 过 程 。 
蓝 道 尔 原理 特别 指出 ， 任 何 移 位 运算 都 会 消耗 一 定量 (k Tln 2) 的 焦 
耳 ， 其 中 Kk 代 表 玻 尔 效 曼 单数 (Boltzmann constant, 大概 等 于 1.38x10- 
2JK) ，T 代 表 蕊 片 以 开尔文 为 单位 的 温度 ，ln 2 代表 2 的 自然 对 数 ， 大 
约 等 于 0.69。 算 下 来 每 一 个 单位 数据 的 运算 会 消耗 一 点 点 热量 ， 这 从 基 
础 物理 学 原理 上 提供 了 一 个 能 源 最 低 消 耗 下 限 。 

这 里 我 们 不 做 进一步 推导 ， 大 概 的 意思 就 是 每 进行 一 个 不 可 逆 的 数 
位 运算 都 会 消耗 一 个 最 小 量 的 焦耳 ， 能 源 是 永远 不 会 被 摧毁 的 ， 只 会 从 
一 种 形式 转变 成 另外 一 种 形式 ， 在 计算 中 所 消耗 的 能 源 大 多 数 都 是 从 高 
等 级 的 电能 转换 过 来 的 ， 然 后 被 转换 成 可 以 在 环境 中 最 终 消失 的 热能 。 


作为 一 种 密码 学 中 的 哈 希 函数 ，SHA-256 就 是 一 个 不 可 逆 的 运算 ， 


我 们 可 以 回忆 一 下 第 1 章 里 所 说 的 ， 不 可 逆转 是 作为 密码 学 哈 希 困 数 的 
一 个 基本 要 求 ， 既 然 不 可 逆 运 算 需要 消耗 能 源 ， 那 么 SHA-256 作 为 比特 
币 挖 矿 的 基本 要 素 也 是 不 可 逆 的 ， 那 么 比特 币 的 挖 矿 过 程 必定 会 消耗 能 
源 。 蓝 道 尔 原 理 中 摘 述 的 能 源 消耗 下 限 要 远 低 于 实际 挖 太 过程 所 消耗 的 
电能 ， 虽 然 我 们 目前 无 法 使 计算 的 能 源 消耗 达到 这 个 热力 学 原理 中 的 最 
优 消耗 ， 但 即使 我 们 做 到 了 ， 比 特 币 挖 矿 也 是 要 消耗 能 源 的 。 


比特 币 挖 矿 是 如 何 消耗 能 源 的 ? 这 个 消耗 过 程 分 三 个 部 分 ， 其 中 有 
些 可 能 还 不 是 很 明显 : 


1. 内 涵 能 源 。 首 先 ， 比 特 币 挖 据 设备 需要 被 生产 出 来 ， 生 产 时 所 用 
的 原材料 就 需要 被 物理 开采 出 来 ， 然 后 要 把 这 些 材料 通过 一 系列 的 生产 
流程 转化 为 比特 币 挖 矿 专用 的 ASIC， 这 两 个 过 程 都 需要 消耗 能 源 ， 这 
被 称 为 内 涵 能 源 。 在 收 到 那些 做 机 的 时 候 ， 你 已 经 消耗 了 巨大 的 能 源 
一 一 当然 包括 物流 过 程 中 产生 的 能 即使 这 时 候 你 还 没有 开局 这 些 
矿 机 ! 


可 喜 的 是 ， 随 着 越 来 越 少 的 挖掘 容量 的 出 现 ， 内 涵 能 源 的 消耗 束 会 
降低 。 随 着 越 来 越 少 的 人 会 去 购买 新 的 ASIC 矿 机 ， 这 些 矿 机 被 淘汰 的 
速度 也 会 减 慢 ， 那 么 相应 的 内 涵 能 源 也 会 在 多 年 的 挖 矿 中 被 挫 销 。 


2. 电 能 。 当 矿 机 启动 开始 控 矿 时 ， 它 就 会 消耗 电能 。 根 据 蓝 道 尔 原 
理 ， 这 一 步 肯 定 会 消耗 能 源 。 随 着 矿 机 越 来 越 高 效 ， 所 消耗 的 电能 也 随 
之 下 降 ， 但 是 根据 蓝 道 尔 原理 这 个 消耗 不 能 降 为 0， 电 能 消耗 将 会 伴随 
着 矿工 的 控 矿 生涯 。 


3. 冷 却 。 比 特 币 矿 机 需要 被 冷却 ， 这 是 为 了 防止 矿 机 出 故障 。 如 果 
在 非常 寒冷 的 环境 中 进行 小 规模 的 挖 矿 运营 ， 冷 却 成 本 会 微不足道 。 但 
即使 是 在 非常 赛 冷 的 环境 中 ， 一 旦 在 一 个 很 小 的 空间 运行 了 足够 多 的 
ASIC， 还 是 需要 承担 额外 的 冷却 成 本 去 解决 散热 问题 。 通 第 冷却 挖 矿 
机 的 耗 能 形式 也 是 利用 电力 。 


内 涵 能 源 和 电能 的 消耗 “每 单位 挖 矿工 作 完成 ) 会 随 着 挖 矿 运营 规 
模 的 增加 而 降低 ， 设 计 和 制造 运行 在 大 型 数据 中 心 的 心 片 本 里 单位 成 本 
会 降低 ， 同 时 由 于 不 需要 很 多 电源 ， 你 可 以 使 得 电力 输送 更 加 有 效 。 


当 讨 论 冷却 问题 的 时 候 却 恰恰 相反 ， 冷 却 成 本 会 随 着 规模 的 增 大 而 
上 升 。 如 果 要 进行 一 个 大 规模 的 比特 币 挖 矿 运 营 ， 需 要 在 一 个 地 方 运 行 
大 量 的 矿 机 ， 那 就 意味 着 空间 比较 小 不 易于 散热 。 冷 却 成 本 会 随 着 规模 
化 而 增加 每 单位 运算 量 ) ， 除 非 矿 机 运行 的 物理 空间 同等 规模 地 增 
加 。 


能 耗 预 估 


整个 比特 币 系 统 到 撒 需 要 耗费 多 少 能 源 ? 当然 ， 我 们 无 法 做 到 精确 
统计 ， 因 为 这 是 一 个 去 中 心 化 的 网 络 ， 大 量 的 矿 机 分 散在 各 处 ， 并 且 没 
有 正式 记录 。 但 是 有 两 种 基本 方法 可 以 对 比特 币 矿 机 所 产生 的 能 耗 进行 
估算 。 根 据 2015 年 早期 的 比特 币 价 格 ， 我 们 可 以 进行 一 个 快速 的 简单 计 
算 ， 我 们 必须 强调 一 下 ， 这 个 数字 只 是 一 个 大 概 的 估算 ， 因 为 不 管 哪 种 
方法 ， 计 算 过 程 中 所 用 的 参数 都 是 很 难 估计 并 且 变 化 很 快 ， 这 些 结果 只 
能 是 一 个 数量 级 上 的 估算 。 


目 上 而 下 


第 一 种 是 自 上 而 下 的 方法 。 现 在 每 一 个 区 块 奖励 是 25 个 比特 币 ， 大 
约 值 6 ”500 美 元 。 也 就 是 说 ， 比 特 币 体系 平均 每 秒 钟 插 空 产生 11 美 元 给 
矿工 。 


现在 我 们 思考 一 个 问题 ， 如 果 矿 工 把 所 有 的 11 美 元 都 用 在 电费 上 ， 


他 们 可 以 买 到 多 少 电 ? 当然， 矿工 通常 并 不 会 把 全 部 的 收入 都 用 于 电 

费 ， 这 是 用 于 计算 电费 的 上 限 。 电 价 在 各 地 的 差异 非常 大 ， 我 们 可 以 用 
美国 的 工业 电价 ， 大 约 每 千瓦 时 〈kwh)10 美 分 的 价格 来 预 估 ， 也 就 是 每 
百 万 焦耳 (megajoules， 简 称 MJ) 大 概 3 美 分 。 如 果 比 特 币 矿工 把 所 有 的 每 
秒 11 美 元 收入 都 用 来 文 付 电费 ， 他 们 可 以 购买 每 秒 367 百 万 焦耳 ， 消 耗 
大 概 367 000 千 瓦 时 电力 。 


单位 能 耗 和 单位 电力 ”国际 单位 制 (S1) 中 ， 能 耗 的 衡量 单位 是 
焦耳 ， 电 力 的 衡量 单位 是 瓦特 ，1 瓦 特 代表 每 秒 钟 1 焦耳 。 


目下 而 上 
第 二 种 是 自 下 而 上 的 方法 ， 通 过 观测 每 个 区 块 的 难度 ， 了 解 矿工 计 


算 的 哈 希 数量 ， 并 以 此 来 进行 估计 。 假 设 所 有 的 矿工 都 使 用 最 高 效 的 矿 
机 ， 我 们 可 以 推导 出 一 个 最 低 电 耗 。 


目前 ， 最 好 的 商业 化 矿 机 的 功效 数值 差不多 是 3GH/SW 三 。 那 耽 
是 ， 这 样 的 ASIC 矿 机 每 消耗 1 瓦特 的 电力 ， 可 以 进行 每 秒 30 亿 次 哈 希 函 
数 运算 。 目 前 全 网 算 力 是 350PHs， 也 就 是 350 000 000GHSs。 三 根据 这 
两 个 参数 计算 ， 我 们 就 可 以 知道 目前 基于 这 种 矿 机 效率 ， 每 秒 钟 全 网 的 
矿 机 需要 消耗 117MW 的 电力 。 当 然 这 个 数值 还 没有 包括 所 有 冷却 需要 
消耗 的 能 耗 以 及 忌 片 本 身 的 内 涵 能 耗 。 因 为 只 是 做 一 个 能 耗 的 下 限 估 
计 ， 这 么 算是 可 行 的 。 


结合 上 述 两 种 方法 ， 可 以 推导 出 比特 币 挖 矿 大 概 所 耗 电力 ， 这 是 几 
百 万 瓦特 (megawatt， 简 称 MW) 的 数量 级 。 


100 万 瓦特 究竟 是 多 少 ? 为 了 便于 直观 理解 ， 可 以 对 比 一 下 大 型 发 
电 上 矿产 生 多 少 电力 。 世 界 上 最 大 的 发 电 广 之 一 ， 中 国 的 三 峡 水 电站 的 发 


电 总 量 是 10 000 MW， 一 个 普通 的 大 型 水 力 发 电厂 的 发 电 总 量 一 般 是 1 
000MW。 世 界 上 最 大 的 核电 站 日 本 柏 崎 和 刹 羽 核电 站 (Kashiwazaki- 
Kariwa) 的 发 电 总 量 是 7 000MW， 而 平均 来 说 核电 站 的 发 电量 为 4 
000MW， 而 火电 电厂 的 发 电 总 量 一 般 为 2 000MW。 


根据 我 们 的 估算 ， 整 个 比特 币 网 络 大 概 消 耗 了 一 个 大 型 电厂 总 发 电 
量 的 10%。 昌 然 这 个 数字 已 经 相当 惊人 ,但 是 和 地 球 上 其 他 的 用 电 “ 大 
户 ” 比 起 来 ， 这 个 还 算是 小 的 。 


比特 币 挖 矿 在 浪 颖 能 源 吗 


比特 币 这 种 “浪费 ”能 源 的 形式 经 常 被 人 诉 病 ， 因 为 SHA-256 的 运算 
没有 其 他 任何 用 处 。 但 是 我 们 必须 认识 到 任何 一 种 支付 系统 都 需要 能 源 
和 电力 的 消耗 。 就 拿 传 统 的 货币 来 说 ， 纸 币 印刷 、ATM 机 器 的 运行 、 
硬币 分 类 机 器 、 点 钞 机 、 支 付 服务 系统 以 及 运送 现 钞 和 人 金条 的 武装 押运 
车 ， 无 一 不 在 消耗 各 种 能 源 。 你 也 可 以 一 样 说 这 些 能 源 的 消耗 除了 维护 
整个 货币 体系 之 外 ， 也 没有 任何 其 他 用 处 。 所 以 ， 如 果 我 们 认可 比特 币 
作为 一 个 有 用 的 货币 体系 ， 那 么 文 持 比 特 币 体系 的 能 耗 就 不 能 认为 是 浪 
费 。 


当然 ， 如 宋 我 们 可 以 用 更 加 节省 能 源 的 解 谜 算法 来 代 丛 现在 的 比特 
币 挖 矿 ， 同 时 确保 货币 的 安全 性 ， 那 目 然 更 好 。 我 们 将 在 第 8 草 讨 论 这 
个 问题 ， 然 而 我 们 并 不 知道 这 种 可 能 性 是 否 存在 。 


能 源 的 循环 使 用 


另 一 种 使 比特 币 更 加 环保 的 主意 是 ， 把 控 矿 过 程 中 产生 的 热能 进行 
二 次 利用 ， 而 不 是 让 热能 无 谓 地 耗 散 在 空气 中 。 这 种 收集 计算 机 运算 所 


产生 的 热能 的 模式 被 称 为 “数据 火炉 ”(data furmace) 。 这 个 想法 的 原理 
是 使 比特 币 矿 机 挖 矿产 生 的 热能 经 过 一 种 特殊 供暖 装置 的 转换 ， 用 来 进 
行家 寿 供 热 ， 而 不 需要 传统 的 电 取 暖 器 。 这 部 分 热能 供给 驶 成 了 比特 币 
余 相 的 副产品 。 这 么 做 的 效率 其 实 并 不 比 购买 一 个 传统 的 电 取 暖 堪 差 。 
也 许 对 于 家 庭 消费 者 来 说 ， 使 用 一 个 “数据 火炉 ”并 不 会 比 将 供暖 设备 连 
上 网 络 和 电源 插座 更 复杂 。 


这 种 方案 也 有 一 些 问题 。 虽 然 矿 机 友 热 的 效 京 和 电 取 暧 嚣 差不多， 
但 是 它们 本 映 比 用 天 然 气 供暖 的 效率 差 很 多 。 男 外 如 果 在 夏天 每 个 人 者 
把 矿 机 关闭 (至 少 在 北半球 )， 那 么 比特 币 的 全 网 算 力 将 会 伴随 人 类 取 
暧 需 求 而 产生 季节 性 变动 。 如 果 数 据 火 炉 方案 真 的 推广 开 来 ， 将 会 给 比 
特 币 的 共识 机 制 带 来 很 有 有 趣 的 影响 。 


矿 机 的 所 有 权 也 不 明确 。 如 果 买 了 比特 币 数据 火炉 用 于 取 暧 ， 你 是 
否 拥 有 挖 矿 所 获得 的 收入 呢 ? 还 是 出 售 设备 的 公司 获取 这 部 分 收入 ? 大 
多 数 人 对 比特 币 挖 矿 完全 不 感 兴趣 一 一 有 可 能 永远 没 兴趣 一 一 所 以 由 出 
售 这 些 设 备 的 公司 来 获取 这 部 分 挖 夏收 入 更 合理 。 这 也 就 意味 着 取暖 器 
会 以 略微 亏损 的 价格 出 售 。 这 样 一 来 ， 一 些 有 创造 性 的 用 户 可 能 会 在 购 
买 了 这 些 取暖 吉之 后 ， 对 设备 进行 改造 以 使 得 他 们 目 己 可 以 获取 这 部 分 
分 人 矿 收入。 这 可 能 会 引发 令 人 难堪 的 数据 所 有 权 管 理 之 争 。 


将 电力 转换 成 现金 


长 远 来 看 ， 比 特 币 产生 的 另 一 个 问题 是 : 它 可 以 最 有 效率 地 把 电力 
转换 成 现金 。 想 象 一 下 ， 如 果 比 特 币 ASIC 矿 机 是 一 个 很 容易 购买 到 的 
商品 ， 并 且 主 要 的 挖 矿 成 本 是 电力 ， 这 便 意 味 着 ， 提 供 免 费 的 或 低 成 本 
的 电力 将 会 面临 被 滥用 的 风险 。 


在 很 多 国家 ， 政 府 部 有 用 电 补 贴 ， 特 别 是 对 工业 用 电 进 行 补 贴 。 这 


么 做 的 原因 是 政府 希望 吸引 工业 投资 留 在 本 国 。 但 是 由 于 比特 币 提供 了 
一 种 很 好 地 把 电力 转换 为 现金 的 途径 ， 这 可 能 使 得 政府 要 重新 考虑 用 电 
补贴 的 模式 ， 以 防 它 们 补贴 的 电力 全 部 被 转换 成 了 比特 币 。 政 府 用 电 补 
贴 的 意图 是 ， 和 希望 可 以 吸引 那些 对 国家 经 鹿 和 人 民 融 业 有 帮助 的 企业 ， 
但 是 补贴 比特 币 挖 不 也许 并 不 能 对 这 两 点 有 所 儿 助 。 


更 大 的 问题 是 全 球 有 数 以 亿 计 的 “免费 插座， 分 布 在 家 、 学 校 、 酒 
店 、 机 场 以 及 办 公 大 楼 等 。 有 人 可 能 把 挖 矿 设备 接 在 这 些 地 方 控 矿 ， 因 
为 别人 会 为 此 文 付 电费 。 事 实 上 ， 他 们 还 可 能 会 用 过 时 的 设备 而 压根 不 
考虑 升级 ， 反 正 电费 又 不 是 他 们 支付 。 在 全 世界 范围 内 监控 这 些 用 于 比 
特 币 控 矿 的 “ 偷 电 ? 行 为 ， 是 一 个 异 间 艰巨 的 任务 。 


1. GH 为 gigahash,s 为 second,w 为 watt。 一 一 译 者 注 
2. 截至 本 书 翻译 的 时 间 ， 全 网 算 力 已 经 增长 到 了 1 200PH/s。 


译 者 注 


5.4 矿 池 


设想 一 下 作为 单个 矿工 。 假 设 你 花 了 辛苦 赚 来 的 6 ”000 美 元 买 了 一 
台 全 新 闪 亮 的 比特 币 矿 机 ， 你 所 期 望 的 性 能 是 平均 每 14 个 月 会 找到 一 个 
有 效 区 块 〈 在 2015 年 早期 一 个 区 块 的 奖励 价值 在 10 000 美 元 ) 。 


考虑 到 电费 和 其 他 运营 成 本 ， 矿 机 的 平均 收入 期 望 值 应 该 是 每 个 月 
400 美 元 。 如 果 可 以 确定 每 个 月 都 能 获得 400 美 元 ， 那 么 购买 一 台 矿 机 是 
合理 的 投资 。 但 是 别 忘 了 ， 挖 矿 是 一 个 随机 过 程 ， 你 不 知道 什么 时 候 可 
以 发 现下 一 个 有 效 区 块 。 在 找到 有 效 区 块 之 前 ， 什 么 都 赚 不 到 。 


St > 


方才 


zf 


从 矿工 第 一 年 能 找到 有 效 区 块 数 的 概率 分 布 上 看 ， 这 个 分 布 差 异 是 
很 大 的 ， 期 望 值 《也 就 是 第 一 年 能 找到 区 块 的 平均 数 ) 是 相当 的 低 。 因 
为 肥 现 区 块 的 比率 是 一 个 很 低 的 固定 值 ， 并 且 这 个 值 和 你 上 次 发 现 一 个 
有 效 区 块 所 花费 的 时 间 完 全 没有 关系 ， 因 而 总 的 发 现 区 块 的 期 望 值 是 以 
相 松 概率 分 布 三 。 相 松 分 布 是 指 ， 如 果 有 N 个 独立 事件 ， 每 个 事件 成 功 
的 概率 是 VMN， 当 N 接 近 于 无 限 大 的 时 候 的 成 功 概率 分 布 。 比 特 币 挖 矿 
中 ， 汐 试 每 一 个 临时 随机 数 的 行为 实际 上 惑 是 一 种 超 小 成 功 概率 事件 ， 
所 以 即使 对 于 小 矿工 来 说 ，N 的 值 也 确实 很 大 ， 这 种 近似 类 比 是 很 合适 
的 。 


如 果 你 期 望 每 14 个 月 找到 一 个 有 效 区 块 《“ 根 据 泊 松 分 布 可 知 X=6/7 
个 有 效 区 块 /每 年 ) ， 则 有 超过 40% 的 概率 在 第 一 年 你 不 会 找到 任何 有 效 
区 块 。 对 于 个 体 矿工 来 说 ， 这 可 能 是 灾难 性 的 。 你 在 一 个 矿 机 上 花费 了 


数 干 美元 ， 并 且 文 付 了 很 多 电费 来 运行 ， 结 果 什 么 都 没有 获得 。 第 一 年 
能 获取 一 个 有 效 区 块 奖 励 的 概率 大 概 是 36%， 这 也 束 意 味 着 即使 你 的 电 
费 不 高 ， 你 也 就 可 能 刚刚 够 支付 电费 。 当 然 也 有 很 小 的 概率 可 能 会 发 现 
两 个 甚至 更 多 的 有 效 区 块 ， 这 种 情况 下 才 有 可 能 真 的 赚钱 。 详 见 图 
S11s 


可 能 性 概率 
(按照 柏 松 分 布 函 数 ) 
要 
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Ee 


发 现 第 一 个 有 效 区 块 的 时 间 


图 5. 11 挖 矿 成 功 的 不 确定 性 
注 : 假设 全 网 哈 希 算 力 是 不 变 的 ， 平 均 发 现 一 个 区 块 的 事件 是 14 个 月 ， 对 于 一 个 小 
矿工 来 说 这 个 成 功 概率 的 波动 太 大 了 。 

这 些 数 字 只 是 一 个 近似 估算 ， 但 主要 的 意思 是 ， 即 使 控 矿 从 期 望 值 
来 说 是 合理 的 ， 也 惑 是 说 ， 投 资 有 足够 的 回报 ， 但 由 于 方差 足够 大 以 至 
于 会 有 很 大 的 概率 什么 都 得 不 到 。 对 于 一 个 小 矿工 来 说 ， 这 也 就 意味 着 
冬夏 承 是 一 个 赌博 游戏 。 


下 池 


历史 上 当 小 商人 遇 到 大 风险 的 时 候 ， 他 们 会 上 自发 组 建 一 个 互助 保险 


公司 来 降低 风险 。 比 如 ， 农 夫 会 目 友 地 聚 在 一 起 形成 一 个 协议 ， 如 果 任 
何 一 个 个 体 农夫 的 谷 仓 不 小 心 被 烧 挥 了 ， 那 么 其 他 的 农夫 可 以 把 他 们 的 
利润 拿 来 和 这 个 不 幸 的 农夫 分 享 。 那么 对 于 比特 币 的 小 矿工 是 否 也 可 以 
用 类 似 的 方式 来 降低 风险 呢 ? 


矿 池 应 运 而 生 一 一 矿 池 就 是 一 个 比特 币 矿 工 互相 之 间 的 保险 。 一 组 
矿工 可 以 形成 一 个 矿 池 共同 进行 挖 矿 ， 并 指定 一 个 币 基 接受 人 。 这 个 接 
受 人 就 是 矿 池 管 理 员 。 所 以 不 管 是 谁 最 终 发 现 了 一 个 有 效 区 块 ， 矿 池 省 
理 员 将 会 收 到 这 个 区 块 的 奖励 ， 继 而 根据 每 个 参与 者 所 页 献 的 工作 量 近 
比例 分 配给 所 有 夏 池 的 参与 者 。 当 然 ， 丰 池 管 理 员 可 能 从 中 分 一 部 分 来 
作为 矿 池 管理 服务 的 收入 。 


假定 每 个 人 都 信任 这 个 丰 池 管理 员 ， 这 样 的 分 配 安排 可 以 极 大 地 降 
低 矿工 成 功 寻 找 有 效 区 块 的 概率 波动 。 但 是 矿 池 管理 员 如 何 知 道 矿 池 里 
每 个 成 员 实 际 上 到 捅 页 献 了 多 少 工作 量 呢 ? 同 时 他 又 是 如 何 去 分 发 收入 
的 呢 ? 很 显然 ， 丰 池 管 理 员 不 希望 是 靠 每 个 成 员 的 申明 ， 因 为 他 们 可 能 
会 虚报 自己 的 工作 量 。 


对 于 这 个 问题 ， 我 们 有 一 个 简洁 的 解决 办 法 。 矿 工 可 以 通过 输出 挖 
矿工 分 (mining shares) 来 证 明 他 的 工作 量 ， 工 分 束 是 那些 接近 有 效 区 
块 的 区 块 。 比 如 目标 值 是 个 前 面 67 位 是 零 的 数字 ， 输 出 的 哈 希 值 必须 要 
低 于 这 个 目标 才 算 有 效 。 在 寻找 这 个 哈 希 值 的 过 程 中 ， 矿 工 可 能 找到 其 
他 一 些 区 块 ， 它 们 的 哈 希 也 有 许多 零 ， 但 达 不 到 67 个 。 矿 工 可 以 用 这 些 
区 块 来 证 明 他 们 确实 在 工作 ( 见 图 5.12〉， 一 个 合格 的 工分 可 能 要 求 
40~50 个 零 ， 取 决 于 矿工 所 加 入 的 矿 池 的 要 求 。 
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图 5. 12 挖 矿工 分 

注 : 矿工 不 断 尝试 去 发 现 哈 希 值 低 于 目标 区 域 的 有 效 区 块 。 在 这 个 过 程 中 他 们 会 发 

现 一 些 区 块 的 防 数 值 比 目标 值 少 了 几 个 0 一 一 但 是 已 经 是 非常 稀有 的 ， 这 证 明了 他 们 

确实 在 进行 繁重 的 运算 工作 。 在 这 个 图 中 ， 浅 色 阴 影 的 哈 希 值 就 代表 工分 ， 深 色 阴 

影 部 分 是 有 效 区 块 的 哈 希 值 。 


矿 池 管理 员 也 会 作为 参与 者 之 一 运行 比特 币 节点 ， 收 集 交 易 并 组 装 
区 块 。 他 会 把 他 上 自己 的 接收 地 址 放 在 币 基 交 易 里 ， 然 后 把 这 个 区 块 发 给 
所 有 人 矿 池 里 的 矿工 们 。 矿 工 们 收 到 后 会 在 这 块 上 面 开始 挖 矿 ， 最 后 递交 
工分 来 证 明 他 们 确实 进行 了 运算 工作 。 


当 矿 池 一 个 成 员 找到 了 一 个 有 效 区 块 ， 他 会 把 这 块 发 给 矿 池 管理 
员 ， 然 后 管理 员 会 根据 大 家 的 工作 量 按 比例 分 配 奖 励 。 发 现 这 个 有 效 区 
块 的 矿工 并 不 会 因此 获得 特别 奖励 ， 所 以 如 果 其 他 矿工 的 工作 量 更 大 ， 
那么 其 他 矿工 就 会 获得 更 多 的 奖励 ， 即 使 他 们 并 不 是 真正 发 现 有 效 区 块 
的 人 。 如 图 5.13。 


0 x 00000000000a877902e... 
0 x O00000000001e8709ce... 0 x 00000000000000003f89... 
0 x O00000000001e8709ce... 0 x 00000000000007313f89... 0 x 00000000000045al611f... 


4q 人 Ip 
4 人 WV) 外 
图 5. 13 挖 矿 奖励 

注 : 图 上 三 个 矿工 在 同一 区 块 上 挖 矿 。 他 们 最 后 的 奖励 是 根据 他 们 工作 量 的 大 小 来 
决定 的 。 即 使 是 右边 那个 矿工 找到 了 有 效 区 块 ， 但 左边 那个 获得 了 更 多 的 奖励 ， 因 
为 他 的 工作 量 更 大 。 找 到 有 效 区 块 的 矿工 并 没有 收 到 特别 奖励 。 

夏 池 管理 员 如 何 分 配 奖励 的 方案 有 好 几 种 ， 我 们 将 会 探讨 一 下 最 帝 
见 也 是 最 简单 的 两 种 ， 也 有 其 他 一 些 方案 被 不 同 的 矿 池 使 用 ， 但 这 两 种 
基本 上 可 以 解释 奖励 方案 之 间 的 权衡 选择 。 


器 


分 分 红 

在 这 个 模式 里 ， 管 理 员 会 对 每 一 个 超过 特定 区 块 难度 的 工分 发 放 固 
定 的 奖励 分 红 。 在 这 个 模式 里 ， 矿 工 在 发 送 工分 之 后 ， 管 理 员 马上 就 会 
对 其 文 付 燃 励 ， 而 不 需要 等 到 整个 矿 池 发 现 一 个 有 效 区 块 。 


从 茶 些 方面 来 说 ， 工 分 分 红 的 模式 对 矿工 是 最 有 利 的 ， 他 们 可 以 确 
保 每 次 发 现 一 个 工分 的 时 候 都 有 一 定 的 收入 ， 而 管理 员 其 实 担 当 了 上 所 有 
的 风险 ， 因 为 无 论 矿 工 是 否 找到 有 效 区 块 ， 他 都 必须 按照 工分 文 付 奖 
励 。 当 然 ， 和 其 他 模式 相 比 ， 因 为 风险 的 增加 ， 管 理 员 也 会 收取 更 高 的 
管理 费用 。 


这 个 模式 的 问题 是 ， 矿 工 没有 动力 把 有 效 区 块 提 区 给 管理 员 。 也 束 
古 说 ， 即 使 把 有 效 区 块 丢 弃 了 ， 他 们 也 会 得 到 同样 的 奖励 ， 但 对 整个 矿 
闻 来 说 是 个 巨大 的 损失 。 一 个 恶意 的 管理 员 可 以 作为 矿工 参与 男 外 一 个 
矿 池 ， 用 这 个 方法 攻击 另 一 个 竞争 对 手 ， 让 他 的 矿 池 无 法 维持 下 去 。 


按 实际 比 列 分 红 


在 这 个 模式 里 ， 不 是 按照 工分 分 发 回 定 分 红 ， 每 个 工分 所 能 得 到 的 
分 红 ， 取 决 于 整个 矿 池 是 否 可 以 找到 一 个 有 效 区 块 。 每 次 找到 一 个 有 效 
区 块 ， 区 块 奖励 〈25 个 比特 币 再 加 上 交易 费 ) 会 按照 每 个 矿工 的 实际 工 
作 量 按 比 例 分 配 。 


在 这 个 模式 里 ， 矿 工 仍然 会 承担 与 矿 池 风 险 成 一 定 比 例 的 风险 。 但 
是 如 果 矿 池 足 够 大 ， 友 现 有 效 区 块 的 概率 波动 会 相当 低 。 按 实际 比例 分 
配 的 模式 大 大 降低 了 人 矿 池 管理 员 的 风险 ， 因 为 只 有 矿 池 发 现 有 效 区 块 的 
时 候 才 会 文 付 矿工 奖励 。 这 也 解决 了 工分 分 红 模式 的 问题 ， 矿 工 有 动力 
把 有 效 区 块 提交 给 管理 员 ， 因 为 只 有 那样 他 们 的 奖励 才 会 被 相应 友 放 。 


相 比 工分 分 红 模 式 ， 这 个 模式 略微 增加 了 管理 员 的 工作 量 ， 他 要 校 
验 、 计 算 和 分 配 奖励 。 


下 池 跳 换 


即使 只 有 这 两 种 矿 池 运 营 模式 ， 我 们 可 以 看 到 矿工 有 动力 去 时 不 时 
地 进行 矿 池 跳 换 (pool hopping) 。 比 如 ， 一 个 按 实际 比例 运行 的 夏 池 
很 快 发 现 有 效 区 块 时 ， 不 管 有 效 区 块 被 发 现 的 间 隅 是 多 久 ， 管 理 员 都 会 
快速 文 付 矿工 奖励 。 


一 个 聪明 的 矿工 可 能 委 试 在 挖 矿 周 期 的 早期 (也 就 是 上 一 个 区 块 刚 
刚 被 发 现 ) ， 在 按 实 际 比例 分 红 的 夏 池 中 挖 矿 ， 这 个 时 候 的 奖励 可 能 相 


对 比较 高 ， 然 后 只 在 周期 的 后 期 切换 〈“ 跳 ”) 到 一 个 工分 分 红 模 式 的 矿 
池 ， 这 个 时 候 按 实际 比例 分 红 的 矿 池 收 益 可 能 相对 较 低 。 这 样 导致 的 结 
条 融 是 按 比例 分 配 的 矿 池 可 能 无 法 运行 。 实 际 上 更 加 复杂 的 方案 可 以 防 
止 这 种 矿工 行为 ， 比 如 “根据 最 近 N 个 工分 提交 的 结果 才 分 配 ” 是 比较 平 
常 的 做 法 ， 但 即使 这 些 方案 也 有 可 能 诱 肥 矿工 跳 换 的 行为 。 如 何 设计 一 
个 矿 池 方案 以 使 其 更 好 地 防止 这 种 行为 ， 仍 旧 是 一 个 有 待 解雇 的 问题 。 


历史 和 标准 化 


矿 池 兴起 于 2010 年 比特 币 的 GPU 时 代 ， 并 迅速 变 得 十 分 受 欢迎 。 道 
理 很 简单 ， 因 为 它 降 低 了 矿工 的 概率 波动 风险 。 时 至 今日 ， 矿 池 已 经 友 
展 得 十 分 先进 。 已 经 有 很 多 矿 池 管理 协议 应 运 而 生 ， 甚 至 有 人 建议 这 些 
矿 池 管理 协议 应 该 说 标准 化 ， 并 且 作 为 比特 币 本 里 的 一 部 分 。 就 像 比特 
币 的 点 对 点 网 络 协议 一 样 ， 这 些 矿 池 协议 也 提供 了 一 种 特定 的 通信 应 用 
程序 编程 接口 (Application Programming Interface， 人 简称 APD)， 用 于 矿 池 
管理 员 与 每 个 矿工 交流 分 派 工 作 和 矿工 们 递交 工分 给 管理 员 。 获 取 有 效 
区 块 模版 〈getblocktemplate， 简 称 GBT ) 就 作为 一 种 标准 化 的 矿 池 协议 
放 进 了 比特 币 改进 方案 (Bitcoin Improvement Proposal， 简 称 BIP) 之 
中 。 一 种 被 称 为 层 〈stratum) 的 竞争 协议 ， 目 前 在 实际 中 运用 很 广泛 ， 
就 是 一 份 BIP。 不 像 比 特 币 本 和 里 的 协议 ， 从 事 存 在 多 个 互 不 兼容 的 矿 池 
协议 没有 造成 太 多 的 不 便 。 每 个 矿 池 可 以 选择 它们 喜欢 的 协议 ， 然 后 让 
市 场 来 判定 识 优 熟 劣 。 


有 些 挖 矿 机 甚至 把 这 些 协定 放 进 了 硬件， 但 这 最 终 会 对 限制 这 些 矿 
机 的 灵活 性 有 所 限制 。 然 而 这 使 得 购买 矿 机 加 入 矿 池 变 得 寞 党 简单 。 只 
需要 把 矿 机 插 上 电 并 连接 上 网 络 ， 选 择 一 个 矿 池 ， 然 后 这 个 矿 机 立刻 就 
会 接受 该 矿 池 的 指令 开始 挖 矿 ， 并 把 电力 消耗 转变 成 收 荔 。 


519% 的 矿 池 


2015 年 早期 的 时 候 ， 绝 大 部 分 矿工 都 通过 加 入 矿 池 来 挖 矿 ， 只 有 很 
少 的 矿工 还 在 单独 挖 矿 。 而 在 2014 年 6 月 ， 网 络 里 最 大 的 矿 池 
GHash.IO， 曾 经 变 得 如 此 巨大 ， 其 算 力 甚至 超过 了 比特 币 全 网 算 力 的 
50%。 主 要 是 因为 这 个 矿 池 给 矿工 优厚 的 奖励 ， 以 至 于 大 家 都 想 加 入 。 
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图 5.14 (a) 矿 池 的 算 力 分 布 
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资料 来 源 : blockchain. info (2015 年 4 月 ) 
但 这 也 是 比特 币 社区 一 直 所 担心 的 ， 也 导致 了 对 GHash 的 反击 。 到 
了 8 月 ，GHash 不 再 接受 新 用 户 而 主动 下 调 了 一 些 比例 。 即 便 如 此 ， 两 
个 夏 池 依然 掌控 了 整个 网 络 一 半 左 右 的 算 力 。 


到 了 2015 年 4 月 ， 形 势 改 变 了 许多 ， 至 少 从 表面 上 来 看 变 得 不 是 那 
么 集中 。 但 一 个 矿 池 掌控 51% 的 算 力 依然 是 社区 里 一 个 令 人 担忧 的 问 
题 。 然 而 GHash 遭 受 的 负面 的 公众 效应 让 很 多 矿 池 意识 到 这 个 问题 ， 并 
尽量 避免 增长 得 过 大 。 随 着 新 的 矿工 加 入 市 场 ， 标 准 化 的 协议 使 得 矿 池 
之 间 的 切换 更 加 容易 ， 矿 池 的 市 场 份额 一 直 在 变动 。 矿 池 在 长 期 如 何 友 
展 ， 目 前 还 不 明明 。 


无 论 如 何 ， 矿 池 有 可 能 会 掩盖 这 样 一 个 事实 : 实际 上 的 算 力 集中 在 

几 个 大 的 挖 矿 机 构 手 上 ， 这 些 大 的 机 构 可 以 同时 参与 多 个 不 同 的 矿 池 以 
盖 它 们 的 真实 规模 。 这 种 做 法 被 称 为 “ 洗 算 力 ”(laundering hashes， 类 
似 于 洗钱 ) 。 因 为 矿 池 的 原因 ， 人 发 现 洗 算 力 变 得 非常 困难 ， 这 也 使 得 外 


人 无 法 知晓 矿 机 的 实际 物理 控制 有 多 么 集中 。 


下 池 和 古 有 益 的 吗 


矿 池 的 好 处 在 于 矿工 挖 矿 变 得 更 加 容易 预测 ， 也 让 小 矿工 更 加 容易 
参与 。 如 果 没 有 矿 池 的 存在 ， 挖 矿 效 荔 上 的 概率 波动 会 让 小 矿工 承受 不 
起 。 


矿 池田 外 的 一 个 好 处 在 于 ， 每 一 个 人 矿 池 都 有 一 个 中 心 化 的 矿 池 管 理 
员 在 网 络 中 组 装 区 块 ， 所 以 网 络 更 新 变 得 更 加 容易 。 只 要 更 新 管理 员 的 
软件 ， 即 可 更 新 所 有 夏 池 成 员 的 软件 。 


当然 矿 池 的 一 大 问题 是 中 心 化 管理 。 矿 池 管 理 员 实际 掌握 了 多 大 的 
算 力 是 一 个 问题 。 当 然 ， 理 论 上 一 个 矿工 如 果 和 觉得 管理 员 权 力 太 大 ， 可 
以 自由 地 选择 离开 ,但 实际 中 有 多 少 矿工 会 这 样 做 还 不 清楚 。 


男 一 个 坏处 是 减少 了 比特 币 网 络 上 校 验 全 部 交易 节点 的 数量 (全 市 
点 )。 以 前 ， 无 论 大 小 ， 所 有 矿工 都 必须 目 己 运行 一 个 全 节点 。 他 们 要 
存储 整个 区 块 链 ， 并 校 验 每 个 交易 。 现 在 他 们 把 这 项 工作 交 给 了 矿 池 省 
理 员 。 这 也 是 我 们 在 第 3 半 中 提 到 的 :整个 网 络 中 进行 校 验 交 易 的 全 节 
扩 的 数目 在 下 降 。 


如 果 你 对 夏季 的 中 心 化 模式 感到 不 安 的 话 ， 你 可 能 会 问 : 我 们 是 否 
可 以 重新 设计 挖 矿 的 流程 ， 这 样 我 们 就 不 需要 任何 人 矿 池 ， 大 家 必须 目 己 
进行 挖 矿 。 我 们 会 在 第 8 章 中 探讨 这 个 问题 。 


1. 相 松 是 18 世 纪 法 国 数学 家 ， 概 率 学 鞠 基 人 之 一 ， 相 松 分 布 被 广泛 用 于 各 个 领域 的 概 
率 分 析 。 一 一 译 者 注 


5.5 控 太 的 激励 和 宁 略 


我 们 在 这 一 草花 了 很 多 篇 幅 讨 论 作 为 一 个 矿工 的 主要 挑战 买 到 好 
的 硬件 、 找 到 廉价 的 电费 ， 然 后 尽快 开始 运行 ， 然 后 期 符 一 些 好 运气 。 
不 过 在 挑选 一 个 区 块 开 挖 之 前 ， 每 个 矿工 都 需要 做 一 些 策略 上 的 选择 : 


1. 需 要 包括 哪些 交易 ? 矿工 可 以 选择 将 哪些 交易 放 进 他 的 区 块 里 。 
默认 的 规则 是 选择 那些 交易 费 比 较 高 的 交易。 


2. 对 哪 一 个 区 块 进行 挖 矿 运算 ? 矿工 可 以 选择 在 哪个 区 块 上 进行 控 
矿 。 默 认 的 做 法 是 在 最 长 的 那 条 区 块 链 上 继续 挖 下 去 。 


3. 在 同一 局 度 的 多 个 区 块 中 做 选择 。 如 果 两 个 不 同 的 区 块 在 同一 时 
间 被 宣布 及 现 ， 这 束 造 成 了 一 个 区 块 的 分 又 ， 每 个 区 块 部 是 可 以 被 延续 
下 去 的 ， 因 为 它们 都 符合 最 长 区 块 链 原则 。 矿 工 必 须 选择 其 中 一 个 区 块 
接龙 下 去 。 默 认 的 做 法 是 选择 最 移 被 监听 到 的 那 一 个 区 块 。 


4. 什 么 时 候 宣 布 新 的 区 块 ? 当 矿工 找到 一 个 有 效 区 块 之 后 ， 他 们 要 
决定 什么 时 候 同 比特 币 网 络 宣布 这 一 个 区 块 。 默 认 做 法 是 立刻 宣布 ， 但 
他 们 也 可 以 选择 等 一 下 。 


矿工 其 实 面临 很 多 决定 。 每 个 决定 都 有 一 个 默认 策略 ， 直 到 这 本 书 
撰写 之 时 ， 绝 大 多 数 的 比特 币 客 己 闯 都 是 按照 该 默认 策略 运行 的 。 非 默 
认 策 上 略 也 有 可 能 使 得 挖 矿 收 荔 更 高 ， 很 多 人 积极 研究 如 何 找 到 这 样 的 集 
略 。 让 我 们 来 看 看 儿 种 可 能 有 别 于 默认 策略 的 做 法 ， 这 些 做 法 可 能 使 得 
挖 矿 收益 更 高 。 在 接 下 来 的 内 容 中 ， 我 们 假设 一 个 运行 非 默 认 集 略 的 矿 
工 掌控 一 定 的 比特 币 网 络 挖掘 市 场 份额 ， 设 为 q。 


分 叉 攻 击 


最 简单 的 攻击 就 是 分 又 攻击 (forking attack) ， 这 是 一 个 显而易见 
的 获 利 方式 一 一 重复 文 付 。 一 个 恶意 的 矿工 给 一 个 受害 者 鲍 靳 及 送 了 一 
些 比 特 币 来 购买 其 服务 和 货品 。 鲍 动 等 到 这 笔 文 付 交 易 被 放 进 了 最 长 链 
之 后 ， 甚 至 还 等 到 了 6 个 证 实 的 时 候 确 认 文 付 安 全 之 后 ， 才 开始 发 货 或 
者 提供 服务 。 


现在 这 个 矿工 开始 跳 到 前 一 个 区 块 上 开始 重新 挖 太一 一 就 是 在 那个 
包含 他 给 鲍 动 的 文 付 交 易 区 块 之 前 的 那 一 块 。 在 这 个 分 又 的 区 块 链 里 ， 
他 插 进 了 男 一 个 兰 代 交易 一 一 或 者 进行 一 个 双重 支付 一 一 把 那些 已 经 文 
付 给 鲍 动 的 比特 币 重新 发 送 回 自己 的 地 址 里 ( 见 图 5.15〉。 


图 5. 15 分 又 攻击 
注 : 一 个 恶意 的 矿工 给 受害 者 鲍 勃 发 送 了 一 些 比 特 币 来 购买 其 服务 和 货品 。 然 后 这 
个 矿工 进行 了 一 个 分 又 攻击 ， 创 建 了 一 个 包含 冲突 交易 的 更 长 的 分 又 ， 在 新 的 共识 


链 中 给 鲍 勃 的 支付 就 变 成 了 无 效 的 交易 。 


想 要 这 个 攻击 成 功 ， 和 被 分 又 的 区 块 链 必 须要 罗 兰 当前 最 长 的 一 条 
链 ， 一 旦 这 个 情况 发 生 ， 文 付 给 鲍 劲 的 交易 就 不 再 存在 于 共识 的 区 块 链 
里 。 如 果 这 个 矿工 掌握 占 优势 的 哈 希 算 力 的 话 ， 也 就 是 说 aq > 0.5， 这 种 
攻击 就 会 成 功 。 也 就 是 说 ， 即 使 有 大 量 的 随机 变数 ， 这 个 分 又 最终 会 变 
成 最 长 的 一 条 链 ， 也 就 是 正当 有 效 的 共识 链 。 甚 者， 因为 这 些 币 己 经 被 
用 过 了 《在 新 的 共识 链 上 ) ， 这 笔 文 付 给 鲍 莪 的 交易 永远 不 可 能 再 回 到 


区 块 链 上 了 。 


51% 是 必要 的 吗 ? 如 果 a > 0.5 的 话 ， 发 动 一 个 分 又 攻击 是 很 有 可 能 
发 生 的 。 但 在 实际 中 ， 用 稍 低 的 算 力 也 可 以 发 动 一 个 那样 的 攻击 ， 因 为 
有 类 似 于 网 络 拥塞 之 类 的 其 他 因素 。 在 主 链 上 挖 矿 的 其 他 矿工 会 因为 一 
个 正常 的 原因 产生 一 些 过 时 的 区 块 因为 有 网 络 延 时 。 但 是 一 个 中 心 
化 的 攻击 者 本 身 则 不 会 有 这 个 延迟 ， 他 可 以 进行 更 快速 的 通信 并 且 生 成 
更 少 的 过 时 区 块 ， 这 可 能 会 节省 1% 甚 至 更 多 的 算 力 。 


拥有 近乎 50% 算 力 的 攻击 者 可 能 需要 花 很 长 时 间 才 可 能 成 功 ， 因 为 
有 随机 性 。 算 力 超 过 50% 越 多 ， 攻 击 就 会 变 得 越 容 易 也 越 有 效 。 人 们 经 
常 讨 论 51% 的 攻击 ， 是 因为 51% 是 一 个 分 水 岭 ， 超 过 51% 的 时 候 分 叉 攻 
击 就 会 成 为 可 能 。 实 际 上 ， 这 种 攻击 的 成 功 概率 是 呈 梯 度 变化 的 。 


可 操作 的 对 策 。 我 们 不 清楚 分 又 攻 击 在 现实 中 是 否 一 定 成 功 。 因 为 
大 家 可 以 觉 坚 到 这 个 攻击 ， 社 区 可 以 对 此 做 出 决定 ， 即 使 分 又 链 更 长 也 
可 以 拒绝 接受 。 


攻击 和 币值 exchange rate) 。 更 加 重要 的 是 ， 这 种 攻击 可 以 摧毁 
大 家 对 比特 币 的 信心 ， 比 特 币 的 拥有 者 们 就 想 要 把 资产 转移 出 去 ， 以 至 
于 比特 币 价格 崩 尝 。 因 此 ， 虽 然 一 个 具有 51% 算 力 的 攻击 者 可 能 会 在 短 
期 内 利用 双重 支付 进行 欺骗 并 获得 额外 的 收益 ， 但 是 从 长 期 来 看 ， 其 实 
他 们 这 么 做 造成 的 损失 可 能 更 大 。 


所 以 发 动 这 种 攻击 的 人 其 实 是 想 通 过 打击 信心 来 摧毁 比特 币 。 有 点 
类 似 于 邦 德 电 影 里 的 反派 想 要 对 话 克 斯 堡 里 的 所 有 的 黄金 进行 辐射 污 
染 ， 使 其 变 得 没有 价值 一 样 ， 这 类 攻击 被 称 为 金 手指 攻击 (Goldfinger 
attack) 。 这 种 攻击 者 的 目的 可 能 就 是 摧毁 整个 货币 ， 可 能 是 由 于 他 可 
以 通过 要 么 做 比特 币 空 尖 交 易 ， 要 么 拥有 大 量 的 莞 争 贷 币 而 获 荔 。 


通过 贿赂 来 进行 分 又 攻击 


通过 购买 足够 多 的 矿 机 来 控制 大 部 分 的 算 力 ， 是 一 件 非 第 困难 而 且 
昂贵 的 任务 。 但 可 能 还 是 会 存在 其 他 简单 的 方法 来 进行 分 又 攻击 : 相 比 
直接 购买 算 力 以 获取 超越 所 有 其 他 人 算 力 的 昂贵 做 法 ， 贿 赂 那些 有 能 
的 矿工 来 为 你 来 工作 也 是 可 能 的 。 


有 几 种 贿赂 其 他 矿工 的 方法 。 其 中 一 个 方法 是 “系统 外 的 ”(out of 
band ) 可 能 找到 一 些 矿 工 然后 直接 用 现金 来 贿赂 他 们 。 当 然 一 个 更 
加 聪明 的 办 法 是 创建 一 个 新 的 矿 池 ， 然 后 提供 更 好 的 奖励 来 吸引 其 他 矿 
工 来 加 入 ， 即 使 矿 池 运 行 可 能 因此 而 亏损 。 虽 然 这 种 奖励 不 可 能 长 期 维 
持 下 去 ， 但 是 可 以 维持 足够 长 的 一 段 时 间 直 到 可 以 发 动 一 个 成 功 的 分 又 
攻击 ， 然 后 获 利 。 还 有 一 种 方法 是 在 你 的 分 又 区 块 链 里 留 下 足够 多 
的 “小 费 *， 多 到 足以 让 其 他 矿工 离开 最 长 链 来 加 入 你 的 分 链 ， 矿工 们 希 
望 你 的 链 成 为 最 长 的 链 ， 这 样 一 来 他 们 可 以 收取 你 留 下 的 小 费 。 


不 管 是 哪 种 贿赂 的 方式 ， 核 心思 路 者 是 一 样 的 : 有 别 于 直接 获得 大 
量 算 力 ， 攻 击 者 去 贿赂 那些 已 经 拥有 算 力 的 人 ， 让 他 们 帮助 目 己 分 又 出 
男 外 一 条 最 长 的 区 块 链 。 


可 能 矿工 们 并 不 愿意 去 帮助 一 个 攻击 者 ， 因 为 这 么 做 会 危害 整个 货 
币 的 价值 ， 而 他 们 已 经 在 此 之 上 投入 了 相当 多 的 资金 和 夏 机 。 从 妃 一 方 
面 看 ， 昌 然 矿工 们 作为 一 个 整体 可 能 希望 保持 货币 的 价值 ， 但 是 他 们 可 
能 做 不 到 一 臻 行动。 个别 矿 工 可 能 会 因为 短期 利益 ， 将 个 人 利 蔡 置 于 集 
体 利 普 之 上 。 从 经 济 学 的 角度 来 看 ， 那 就 是 个 经 典 的 “ 公 地 悉 剧 "了 。 


这 些 假想 在 现实 中 未 曾 发 生 。 贿 赂 攻击 是 否 可 行 ， 这 依旧 是 一 个 基 
而 未 决 的 问题 。 


临时 保留 区 块 攻击 


假设 找到 一 个 区 块 之 后 ， 默 认 的 做 法 是 你 会 立刻 同 全 网 宣布 找到 的 
区 块 。 但 是 如 果 你 想 进行 一 个 临时 保留 区 块 攻 击 (temporary block- 
withholding attacks)， 你 也 可 以 不 立刻 宣布 ， 然 后 在 这 块 上 面 继续 挖 矿 ， 
期 望 你 可 以 在 其 他 矿工 找到 下 一 个 区 块 之 前 连续 找到 两 个 有 效 区 块 ， 在 
整个 过 程 中 秘密 地 保留 你 所 发 现 的 区 块 。 


如 果 你 已 经 拥有 两 个 公共 区 块 链 上 超前 的 秘密 区 块 ， 那 么 全 网 剩 下 
的 矿工 所 做 的 挖 矿 努力 都 会 被 浪费 ， 其 他 的 矿工 都 会 在 他 们 认为 最 长 的 
链 上 继续 挖 矿 ， 一 旦 他 们 宣布 他 们 找到 了 一 个 有 效 区 块 ， 你 可 以 立刻 宣 
布 你 所 秘密 保留 的 两 个 区 块 ， 这 样 你 的 区 块 链 立 刻 变 成 了 最 长 的 有 效 
链 ， 而 其 他 人 辛 兰 挖 出 来 的 区 块 马 上 就 变 成 了 一 个 孤 块 而 被 丢弃 〈 见 图 
5.16) ， 你 的 这 种 行为 被 称 为 自私 挖 矿 (selfish mining) 。 通 过 使 网 络 
上 的 其 他 矿工 浪费 算 力 计算 出 来 的 区 块 瞬间 过 期 ， 可 以 有 效 地 增加 你 的 
安信 获 利 。 


图 5. 16 自私 挖 矿 图 示 
注 : 图 中 显示 了 其 中 一 种 攻击 方式 。 (1) 攻击 之 前 的 区 块 链 。 (2) 攻击 者 挖 到 的 
区 块 ， 保 留 着 ， 在 此 之 上 继续 挖 矿 。 (3) 攻击 者 运气 很 好 ， 在 全 网 其 他 矿工 之 前 发 
现 了 第 二 个 区 块 ， 并 继续 保留 。 〈4) 非 攻击 者 找到 了 一 个 区 块 ， 并 进行 广播 。 攻 击 
7 使 得 区 块 4 变 成 了 孤岛 ， 浪 费 了 其 他 人 之 前 所 用 的 
算 力 。 


这 里 面 的 关键 是 你 需要 运气 好 到 连续 发 现 两 个 区 块 ， 风 险 在 于 你 只 
领先 了 一 个 区 块 ， 其 他 人 就 已 经 问 网 络 宣布 发 现 了 一 个 有 效 区 块 。 如 果 
这 种 情况 发 生 ， 你 必须 立刻 宣布 你 的 秘密 区 块 ， 这 叫 造成 了 一 个 区 块 的 
分 又 ， 每 个 矿工 都 需要 选择 哪 一 个 区 块 继 续 挖 下去。 当然 ， 你 希望 大 部 
分 其 他 矿工 最 早 监听 到 你 的 区 块 并 在 上 面 继续 挖 矿 。 由 于 这 种 攻击 的 有 
效 性 严重 依赖 你 局 得 这 个 竞赛 的 能 力 ， 所 以 网 络 位 置 至 关 重 要 。 你 可 以 
尝试 跟 所 有 的 节点 建立 链接 ， 以 使 得 你 的 区 块 可 以 第 一 个 到 达 其 他 的 节 
Ee 


假设 只 有 50% 的 机 会 可 以 局 得 这 个 竞赛 ， 在 a>0.25 的 情况 下 ， 目 私 
分 矿 可 以 比 默认 策略 更 有 收益 。 如 果 a>0.333， 即 使 你 输 挥 每 一 个 这 种 
竞赛 ， 仍 然 可 以 获得 更 高 的 收益 。 这 种 攻击 的 存在 是 令 人 震惊 的 ， 原 来 
大 家 都 相信 如 果 没 有 很 大 的 算 力 一 一 比如 a<0.5 一 一 不 会 有 比 默认 集 略 
更 有 利 的 挖 矿 集 略 。 所 以 ， 即 使 菜 个 矿工 控制 的 算 力 低 于 50%， 也 是 有 
可 能 通过 切换 到 其 他 的 挖 矿 策略 来 获取 更 多 的 收益 。 


到 2015 年 为 止 ， 临 时 保留 区 块 攻击 仅仅 是 理论 上 的 ， 在 实际 中 并 没 
有 观察 到 这 类 攻击 事件 ， 目 私 控 矿 则 很 容易 被 检 训 到 ， 因 为 这 种 策略 会 
增加 同时 宣布 区 块 的 概率 。 


黑 名 单 与 惩 天 分 又 攻击 


如 果 一 个 矿工 想 把 一 个 来 自 地 址 X 的 交易 列 入 黑 名 单 ， 换 人 句 话说 ， 
他 想 冻 结 从 该 地 址 出 来 的 钱 ， 让 这 些 钱 变 得 不 可 用 。 或 许 他 想 用 这 个 办 
法 来 散 诈 勒索 一 笔 钱 ， 或 许 他 们 之 间 有 仇 ， 还 有 可 能 是 政府 执法 部 门 认 
为 那些 地 址 有 问题 ， 需 要 矿工 的 配合 来 冻结 这 些 币 。 


传统 观 扣 部 认为 在 比特 币 里 这 种 黑 名 单 没有 办 法 有 效 施 行 。 因 为 即 
使 有 些 矿工 会 拒绝 把 交易 放 进 区 块 链 里 ， 其 他 一 些 矿工 可 能 会 。 如 果 你 


真 的 想 把 一 笔 交 易 列 入 黑 名 单 ， 你 可 以 尝试 其 他 一 些 更 加 激烈 的 手段 ， 
比如 ， 惩 避 分 又 〈punitive forking) ,你 可 以 宣布 拒绝 在 包含 来 自 该 地 址 
的 交易 的 区 块 链 上 工作 。 如 果 你 拥有 大 部 分 市 场 运算 能 力 ， 那 应 该 足以 
保证 这 个 黑 名 单 上 的 交易 永远 不 会 被 公布 。 确 实 ， 在 这 种 情况 下 ， 其 他 
矿工 很 有 可 能 不 会 再 试图 把 这 笔 交 易 放 入 区 块 链 里 ， 因 为 这 么 做 有 可 能 
使 得 他 们 自己 的 区 块 链 被 分 又 ， 这 会 导致 他 们 发 现 的 区 块 被 删除 。 


如 果 没 有 很 大 的 算 力 ， 上 述 的 几 个 分 叉 攻 击 在 现实 中 都 不 太 可 能 实 
现 。 如 果 你 塞 布 拒绝 接受 包含 条 些 特定 交易 的 区 块 链 ， 但 这 条 链 被 网 络 
上 的 其 他 矿工 所 接受 并 形成 最 长 链 的 话 ， 你 束 会 发 现 自 己 被 永远 排除 在 
共识 链 之 外 (这 束 是 一 个 硬 分 义 〉)， 所 有 你 做 的 挖 矿工 作 统统 浪费 了 。 
更 加 糟 料 的 是 ， 黑 名 单 上 的 交易 仍然 存在 于 最 长 的 区 块 链 上 。 


换 句 话说 ， 考 虑 到 还 有 其 他 丰 工 的 存在 ， 用 惩 避 分 又 把 特定 交易 放 
入 黑 名 单 的 手段 并 不 可 徘 。 然 而 ， 有 为 一 个 更 明智 的 方法 可 以 做 到 这 一 
扩 。 与 其 一 看 到 从 地 址 Xx 里 出 来 的 交易 束 宣 布 你 会 进行 永久 分 又， 不 如 
宣布 你 将 会 尝试 分 义 ， 但 过 一 段 时 间 你 可 能 会 放弃 封杀 的 尝试 。 例 如 ， 
你 可 以 宣布 : 当 k 个 区 块 证 实 了 从 这 个 地 址 出 来 的 交易 是 正当 的 时 候 ， 
你 便 会 回 到 最 长 链 。 三 


如 果 你 在 一 个 区 块 证 实 后 便 放弃 ， 把 那 笔 从 地 址 Xx 出 来 的 交易 成 功 
封杀 的 概率 是 eo。 原 因 是 你 必须 要 在 其 他 矿工 找到 下 一 个 区 块 之 前 找到 
连续 两 个 区 块 ， 这 样 才能 成 功 地 丢弃 那 个 包括 地 址 Xx 交易 的 区 块 。o? 是 
你 连续 找到 两 个 区 块 的 概率 。 


% 这 个 概率 看 上 去 不 是 很 好 。 就 算 你 掌控 了 20% 的 全 网 算 力 ， 也 只 
有 4% 的 成 功 概 率 来 封杀 那 笔 你 不 希望 出 现在 区 块 链 上 的 交易 。 但 这 已 


经 不 错 了 ， 至 少 你 还 有 可 能 说 动 其 他 矿工 来 加 入 你 。 只 要 你 把 你 的 计划 
公开 了 ， 其 他 矿工 便 会 知道 : 如 果 他 们 胆敢 把 这 个 来 自 地 址 X 的 交易 加 
入 自己 的 区 块 ， 便 有 w2 的 可 能 会 丧失 自己 已 经 发 现 的 区 块 [被 你 的 羽 量 
级 分 又 攻击 (feather forking) 所 消灭 】。 只 要 他 们 不 是 有 很 强 的 主观 意 
愿 把 这 个 交易 包括 进来 并 且 这 个 交易 没有 很 高 的 交易 费 ， 他 们 可 能 更 愿 
意 规避 那 o” 失 掉 过 往 挖 矿 奖励 的 风险 ， 而 不 是 获取 那 笔 交易 费 。 


这 就 演化 为 : 其 他 挖 矿 者 经 过 理性 的 思考 ， 将 决定 加 入 你 对 X 地 址 
的 封杀 行动 ， 这 样 你 便 可 以 成 功 地 封杀 X 即 使 a<0.5。 所 以 这 个 攻击 要 想 
成 功 ， 重 点 在 于 确保 其 他 矿工 相信 你 将 会 进行 分 又 攻击 。 


逐渐 转移 到 用 交易 费 来 奖励 挖 矿 


直到 2015 年 ， 交 易 费 还 不 是 那么 重要 ， 因 为 区 块 奖励 在 矿工 总 收入 
里 占 比 超过 99%。 但 每 4 年 ， 区 块 交 励 束 会 被 减 半 ， 最 终 区 块 奖 励 将 会 
变 得 很 低 ， 低 到 交易 费 变 成 了 矿工 的 主要 收入 来 源 。 届 时 矿工 会 如 何 应 
对 还 属 未 知 。 他 们 会 不 会 更 加 激进 地 要 求实 行 最 低 交 易 费 ? 矿工 会 不 会 
联合 起 来 盘 迫 比特 币 网 络 实行 最 低 交 易 费 制度 ? 


未 解 的 问题 


总 结 来 说 ， 理 论 上 矿工 可 以 自由 地 选择 挖 矿 的 策略 ， 但 在 实际 中 我 
们 观察 到 的 是 大 部 分 矿工 都 选择 了 默认 策略 来 挖 矿 ， 虽 然 没 有 完整 的 模 
型 可 以 证 明 默认 策略 (default strategy) 束 是 最 佳 的 。 在 本 章 中 ， 我 们 讨论 
过 几 个 特定 案例 ， 有 大 量 算 力 的 矿工 有 可 能 执行 非 默 认 策略 来 获取 更 大 
的 收益 。 在 挖 矿 策略 上 ， 实 践 是 领先 于 理论 的 。 在 实践 中 ， 大 多 数 矿 工 
还 是 选择 了 默认 策略 ， 而 且 比 特 币 运行 得 也 很 好 。 但 是 ， 从 理论 上 ， 我 


们 还 无 法 论证 这 是 一 个 稳定 的 机 制 。 


默认 策略 能 人 否 在 实际 运行 中 一 直 保持 有 效 ， 对 于 这 一 点 我 们 也 没有 
把 握 。 比 特 币 运行 所 依赖 的 现实 条 件 也 一 直 在 改变 。 人 矿工 们 变 得 越 来 越 
中 心 化 和 专业 化 ， 整 个 系统 的 算 力也 越 来 越 大 。 另 外 ， 从 长 期 来 看 ， 比 
特 币 的 奖励 将 从 固定 的 挖 矿 奖励 为 主 转变 为 交易 费 为 主 。 我 们 真 的 不 知 
道 这 将 会 如 何 演变 ， 基 于 博弈 理 论 对 此 进行 预测 也 是 一 个 非 第 有 趣 的 前 
沿 研 究 领 域 。 
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1. 给 自己 留 条 后 路 ， 见 机 行事 。 一 一 译 者 注 


第 6 草 
比特 币 和 匿名 性 


比特 币 是 一 种 安全 并 且 匿 名 的 数字 货币 。 
一 一 维基 解密 捐款 页 面 

比特 币 并 不 会 帮 你 躲 训 国家 安全 局 的 窥探 。 
一 一 英国 有 线 


比特 币 最 有 和 争议 性 的 一 个 特性 ， 束 是 匿名 性 。 首 先 ， 比 特 币 古 匿名 
的 吗 ? 从 上 述 两 种 完全 相反 的 论调 可 以 看 到 ， 人 们 对 比特 币 匿名 性 存在 
理解 上 的 困惑 。 其 次 ， 我 们 需要 加 密 数 字 货币 〈crypto-currency) 做 到 
完全 匿名 吗 ? 匿名 性 有 好 的 地 方 ， 也 有 不 好 的 地 方 ， 进 而 引申 出 一 些 基 
本 的 问题 : 加 密 数字 货币 的 匿名 性 对 持 有 者 有 益处 吗 ?” 对 社会 有 没有 好 
处 呢 ? 有 没有 一 种 方法 ， 可 以 让 匿名 性 只 发 挥 积极 正面 的 作用 ， 而 不 用 
担心 它 的 负面 作用 呢 ? 


这 些 问题 很 难 回 答 ， 因 为 它们 取决 于 人 的 道德 价值 观 。 本 章 中 ， 我 
们 并 不 会 回答 这 些 问题 ， 即 使 我 们 仍然 会 探讨 匿名 性 的 优 务 。 我 们 将 主 
要 研究 探讨 各 种 技术 特性 ， 其 中 有 一 些 已 经 是 比特 币 所 具备 的 ， 还 有 一 
些 是 为 增强 比特 币 的 匿名 性 ， 而 建议 比特 币 应 该 添加 的 技术 特性 。 我 们 
也 会 对 其 他 一 些 具备 不 同 匿名 技术 特性 的 加 密 数 字 货 币 进行 研究 。 这 些 
技术 也 会 带 来 新 的 问题 ， 比 如 它们 能 在 比特 币 或 者 其 他 加 密 数 字 货 币 中 
正常 工作 吗 ? 接受 这 些 特性 有 多 困难 ? 接受 这 些 特性 需要 对 现 有 的 技术 
功能 做 出 哪些 取舍 ? 


6.1 匿名 的 基础 知识 


匿名 的 定义 


在 讨论 比特 币 是 否 具备 匿名 性 之 前 ， 我 们 需要 对 匿名 做 一 个 定义 。 
我 们 需要 准确 地 理解 到 底 什 么 是 匿名 ， 以 及 它 与 其 他 一 些 相 似 术 语 的 关 
系 ， 比 如 隐私 。 


匿名 和 化 名 (pseudonymity) 


在 其 他 你 可 能 更 熟悉 的 情形 下 ， 说 明 匿 名 和 单纯 的 化 名 的 区 别 可 
能 更 容易 。 其 中 一 个 很 好 的 例子 就 是 在 线 论 坛 ， 在 一 个 类 似 于 红 迪 
(Reddit， 美 社交 新 闻 网 站 〉 的 论坛 中 ， 你 会 选择 一 个 自己 常用 的 化 
名 在 一 段 时 间 内 和 系统 进行 交互 。 你 也 可 以 创建 多 个 化 名 ， 甚 至 每 一 
条 评论 都 用 一 个 新 的 名 字 ， 但 那样 会 很 豚 烦 ， 绝 大 多 数 人 都 不 会 这 样 
做 。 所 以 在 红 迪 这 样 的 论坛 里 ， 用 户 通 币 都 会 使 用 化 名 ， 但 叉 不 是 完 
全 匿名 。 相 反 ， 在 4Chan《〈 综 合 型 讨论 区 ) 这 种 在 线 论 坛 里 ， 用 户 通 
常用 匿名 来 发 帖 ， 并 且 不 带 有 任何 标识 性 属性 。 


从 字面 上 理解 ， 匿 名 的 意思 是 “没有 名 字 ”。 当 我 们 尝试 用 这 个 定义 
来 说 明 比 特 币 的 匿名 特征 时 ， 会 有 两 种 不 同 的 诠释 : 在 交易 的 时 候 不 使 
用 真实 的 姓名 ， 或 者 在 交易 的 时 候 完全 不 使 用 任何 名 字 。 比 特 币 是 人 否 具 
备 匿 名 性 ， 这 两 种 释义 会 带 来 两 种 完全 不 同 的 结论 。 比 特 币 的 地 址 是 公 


钥 哈 希 值 (hashes of publickeys) ， 在 与 比特 币 系统 交互 过 程 中 ， 使 用 
者 不 需要 使 用 真实 的 姓名 ， 但 是 需要 使 用 公 钥 哈 希 值 来 作为 交易 标识 。 
因此 ， 按 照 第 一 种 对 匿名 的 释义 ， 比 特 币 是 具有 匿名 性 的 ， 因 为 使 用 者 
不 需要 使 用 真实 的 姓名 。 然 而 ， 如 果 根 据 第 二 种 释义 ， 比 特 币 并 不 具备 
匿名 性 ， 因 为 交易 中 必须 使 用 的 地 址 是 一 种 虚假 标识 。 在 计算 机 科学 语 
言 中 ， 这 种 不 用 真实 姓名 而 使 用 一 种 特定 标识 的 折 中 做 法 被 称 为 化 名 。 


你 可 以 根据 你 的 需要 ， 随 意 创 建 出 任意 多 个 比特 币 地 址 ， 考 虑 到 这 
一 点 ， 你 可 能 会 思考 比特 币 的 地 址 是 否 真 的 是 虚假 标识 ， 因 为 你 可 以 创 
建 无 穷 多 的 化 名 ， 正 如 我 们 将 会 看 到 的 ， 这 并 不 能 让 比特 币 具备 匿名 
sR 


在 计算 机 科学 中 ， 匿 名 指 的 是 具有 无 关联 性 〈unlinkability) 的 化 
名 ， 无 关联 性 是 一 种 针对 特定 攻击 者 的 能 力 而 定义 的 属性 ， 从 直观 的 意 
思 看， 无 关联 性 意味 看 如 果 一 个 用 户 和 系统 重复 进行 交互 ， 从 特定 攻击 
者 的 角 帮 考虑 ， 不 同 的 交互 行为 之 间 应 该 无 法 互相 关联 。 


比特 币 是 具备 化 名 性 的 ， 但 如 果 你 的 目的 是 要 求 绝 对 隐私 ， 那 么 这 
种 匿名 性 还 不 够 。 区 块 链 技术 是 一 种 公开 的 账本 系统 ， 任 何人 都 可 以 碍 
询 包含 了 给 定 地址 的 所 有 比特 币 交 易 。 如 采 有 人 可 以 用 你 的 比特 币 地 址 
链接 到 你 的 真实 身份 ， 那 么 所 有 你 的 比特 币 交 易 记 录 一 一 不管 是 过 去 
的 、 现 在 的 ， 还 是 未 来 的 一 一 都 能 关联 到 你 的 真实 身份 。 


更 加 糟糕 的 是 ， 把 比特 币 地 址 和 真实 身份 链接 起 来 并 不 困难 。 如 采 
你 跟 东 一 种 比特 币 业 务 有 关联 不 管 是 一 个 在 线 电 子 钱包 服务 ， 还 
是 其 他 接受 比特 币 的 商家 或 交易 所 ， 通 党 你 都 需要 提供 你 的 真实 喘 份 以 
完成 相关 交易 。 比 如 ， 交 易 中 通 常 都 需要 你 提供 信用 卡 信 息 ， 或 者 商家 
需要 你 提供 真实 地 址 以 便 送 货 上 门 。 


或 者 你 去 咖啡 馆 哆 杯 咖啡 ， 然 后 用 比特 币 来 支付 。 由 于 你 已 经 出 现 
在 店铺 里 ， 咖 啡 师 对 你 的 映 份 特征 已 经 有 了 非常 多 的 了 解 ， 即 使 他 们 没 


问 你 的 真实 姓名 。 你 的 物理 标识 就 这 样 和 你 的 茶 个 比特 币 交 易 联系 到 了 
一 起 ， 从 而 可 以 由 这 个 地 址 追踪 到 你 所 有 的 其 他 比特 币 交 易 。 这 显然 不 
具备 匿名 性 。 


劳 路 攻击 (side channels ) 


即使 没有 发 生 直接 的 关联 ， 因 为 侧面 渠道 或 者 一 些 间 接 的 信息 泄 

露 ， 你 的 匿名 身份 也 可 能 会 被 暴露 〈deanonymized) 。 举 个 例子 ， 某 个 
人 看 过 一 个 匿名 的 比特 币 交 易 记 录 ， 并 且 注 意 到 了 这 个 比特 币 交 易 的 活 
跃 时 间 ， 那 么 他 就 可 以 将 这 个 时 间 信 息 与 其 他 公开 可 获得 的 信息 关联 到 
一 起 。 可 能 他 会 注意 到 在 同一 个 时 间 某 一 个 推 特 用 户 也 出 于 活跃 状态 ， 
那么 就 可 以 建立 一 个 匿名 的 比特 币 资料 和 一 个 真实 世界 的 用 户 〈( 人 至少 是 
一 个 推 符 账号 ) 之 间 的 关联 。 很 显然 ， 这 样 的 匿名 性 并 不 能 保障 隐私 或 
者 绝对 匿名 。 要 想 做 到 绝对 匿名 ， 我 们 需要 更 强 的 无 关联 性 属性 。 


无 天 联 性 


为 了 更 扎实 地 理解 比特 币 范畴 中 的 无 关联 性 特征 ， 我 们 可 以 列举 一 
些 在 比特 币 交 易 中 无 关联 性 所 需要 的 关键 属性 : 


1. 同 一 个 用 户 的 不 同 地 址 应 该 不 易 关 联 。 


2. 同 一 个 用 户 的 不 同 交 易 应 该 不 易 关 联 。 


一 个 交易 的 交易 双方 应 该 不 易 关 联 。 
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上 述 第 一 条 和 第 二 条 很 容易 理解 ， 但 第 三 条 比较 微妙 。 如 果 你 把 一 
笔 “ 文 付 ” 诠 释 成 一 个 比特 币 交 易 ， 那 么 第 三 条 属性 很 明显 就 是 一 个 伪 命 


题 。 每 一 笔 交 易 都 有 输入 和 输出 ， 这 些 输入 和 输出 都 不 可 避免 地 会 记录 
起 。 然 而 ， 我 们 所 指 的 支付 并 不 
仅仅 是 一 笔 比 特 币 交易 ， 而 是 指 任何 一 种 从 发 送 者 到 接收 者 的 传输 比特 
币 的 行为 ， 这 种 行为 可 能 会 涉及 一 系列 的 间接 迁 回 交 易 。 我 们 需 3 
保 ， 通 过 查询 区 块 链 上 的 信息 将 发 送 者 和 最 终 的 接收 者 关联 在 一 起 ， 是 
不 可 行 的 。 


匿名 集 


即使 我 们 对 文 付 做 出 更 加 宽泛 的 定义 ， 第 三 条 属性 看 起 来 也 比较 难 
以 实现 。 比 如 次， 你 文 付 一 定数 量 的 比特 币 来 购买 条 个 商品 ， 并 且 通 过 
迁 回 曲 折 的 形式 发 送 了 这 些 比特 币 ， 其 他 人 通过 碍 看 区 块 链 上 的 信息 ， 
还 是 可 以 推断 出 茶 个 比特 币 地 址 上 减少 了 一 定数 量 的 比特 币 ， 而 为 外 一 
个 地 址 上 增加 了 差不多 相同 数量 的 比特 币 〈 可 能 会 扣除 相应 的 交易 费 
用 ) 。 此 外 ， 尺 管 传 输 是 通过 迁 回 曲折 的 路 径 ， 初 始 发 送 方 友 送 比特 币 
和 最 终 接 收 方 接受 比特 币 基本 上 发 生 在 同一 个 时 间 段 ， 因 为 商家 不 太 愿 
意 接 受 延 迟 付款 。 


基于 这 样 的 困难 ， 我 们 通常 并 不 试图 在 系统 中 ， 对 所 有 可 能 的 交易 
或 者 地 址 都 实现 完全 的 无 关联 性 ， 而 是 去 实现 更 有 限度 的 无 关联 性 。 想 
象 一 个 特定 的 攻击 者 的 情况 ， 你 的 交易 匿名 集 (anonymity set) 是 指 该 
攻击 者 无 法 把 你 的 交易 从 其 中 分 st 
你 完成 了 一 个 交易 ， 但 是 他 也 仅仅 知道 这 个 交易 是 某 一 个 合集 中 的 一 
个 ， 但 并 不 能 确定 是 哪 一 个 。 RE 
可 以 了 一 一 在 这 个 合集 中 ， 我 们 可 以 隐藏 我 们 的 地 址 或 交易 。 


统计 匿名 集 是 很 微妙 的 ， 由 于 这 样 的 匿名 集 是 针对 某 一 个 或 者 一 
攻击 者 而 定义 的 ， 所 以 你 首先 需要 具体 定义 你 的 对 手 模型 是 怎样 的 。 你 
必须 要 仔细 思考 对 手 已 知 和 未 知 的 内 容 ， 以 及 我 们 需要 隐藏 的 内 容 一 一 


也 惑 是 说 ， 如 果 要 达到 匿名 性 目标 ， 交 易 中 的 那些 信息 是 不 能 被 对 手 知 
道 的 。 没 有 成 熟 的 公式 告诉 你 该 怎么 做 ， 需 要 根据 每 一 个 具体 情况 仔细 
分 析 相 对 应 的 协议 和 系统 。 


污点 分 析 (taint analysis ) 


在 比特 币 社区 中 ， 人 们 通常 根据 直 和 党 推断 匿名 性 ， 而 非 严 格 的 定 
义 。 污 点 分 析 就 是 一 种 非常 流行 的 方式 :这 是 一 种 推算 两 个 地 址 相关 性 
的 方法 。 如 果 地 址 $ 发 送出 的 比特 币 总 是 地 址 R 接 收 ， 那 么 不 管 是 直接 
抵达 ， 还 是 经 过 了 多 少 中 间 地 址 ，S 和 R 则 被 定义 为 具有 高 分 污点 。 污 
点 分 析 的 计算 公式 ， 适 用 于 多 个 输入 和 《或 ) 输出 的 交易 ， 并 且 确 定 如 
何 分 配 污点 的 规则 。 


遗憾 的 是 ， 污 点 分 析 也 不 是 一 个 衡量 比特 币 匿名 性 的 好 方法 。 它 只 
古 简 单 地 认定 对 手 在 使 用 相同 的 计算 方式 在 关联 成 对 的 地 址 。 稍 微 取 明 
一 点 的 对 手 会 使 用 不 同 的 技巧 ， 比 如 查询 交易 时 间 ， 或 者 本 章 后 面 我 们 
会 讲 的 利用 钱包 软件 的 特性 。 所 以 ， 污 点 分 析 可 能 只 会 显示 你 在 茶 种 特 
定 情况 下 有 具备 的 匿名 性 ， 而 事实 上 可 能 并 不 准确 。 


为 什么 需要 匿名 性 


了 解 了 匿名 性 意味 着 什么 之 后 ， 在 我 们 进入 更 深入 的 探讨 之 前 ， 让 
我 们 来 回答 一 下 有 关 匿 名 性 的 根本 问题 : 为 什么 人 们 需要 匿名 性 ? 拥有 
匿名 性 的 货币 有 哪些 伦理 道德 方面 的 意义 ? 


在 区 块 链 货币 中 ， 所 有 交易 都 被 记录 在 一 个 公共 账本 上 ， 也 残 是 
说 ， 这 些 记 录 都 是 公开 的 ， 并 且 可 根据 相关 地 址 进行 永久 追踪 ， 因 此 ， 
你 的 比特 币 交 易 的 隐私 保护 可 能 会 比 传统 的 银行 更 糟糕 。 如 果 你 的 真实 


身份 被 关联 到 一 个 比特 币 地 址 ， 那 么 你 束 完 全 失去 了 所 有 交易 的 隐私 
不 管 是 过 去 的 、 现 在 的 ， 还 是 未 来 的 一 一 只 要 是 和 这 个 地 址 相关 联 
的 交易 。 由 于 区 块 链 是 公开 可 用 的 ， 确 切 地 说 ， 任 何人 都 有 可 能 在 你 不 
知道 的 情况 下 识别 你 的 里 份 。 


考 谍 到 这 一 点 ， 我 们 可 以 认定 两 种 不 同 的 需要 匿名 加 密 数 字 贷 币 的 
动机 : 第 一 种 是 ， 达 到 我 们 习惯 的 传统 银行 给 我 们 的 隐私 保护 级 别 ， 降 
低 公共 区 块 链 所 带 来 的 信息 暴露 风险 ， 第 二 种 是 ， 要 超越 传统 银行 给 我 
们 的 隐私 保护 级 别 ， 进 一 步 开 及 数字 货币 ， 使 其 从 技术 上 实现 任何 人 不 
能 轻易 追踪 参与 者 。 


匿名 性 的 直 德 问题 


我 们 有 很 多 非常 重要 的 理由 (虽然 经 常 被 忽视 ) 需要 匿名 性 ， 传 统 
货币 已 经 让 我 们 对 这 种 匿名 性 习以为常 。 大 多 数 人 都 不 愿意 与 朋友 以 及 
同事 分 享 他 们 的 工资 收入 状况 ， 如 果 你 的 工资 是 用 区 块 链 比特 币 支 付 
的 ， 而 且 该 区 块 链 上 的 地 址 很 容易 被 识别 ， 那 么 我 们 只 需要 关注 每 个 月 
定期 的 大 额 支付 记录 ， 就 能 很 容易 地 推断 出 你 的 工资 情况 。 企 业 组 织 也 
有 非常 重要 的 财务 隐私 顾虑 ， 例 如 ， 一 家 电玩 游戏 生产 商 被 发 现在 区 块 
链 上 文 付 给 了 一 个 分 包 商 ， 而 这 个 分 包 商 是 专门 生产 虚拟 现实 眼镜 的 ， 
那 也 意味 着 它们 要 推出 的 新 游戏 可 能 会 被 公众 〈 也 包括 其 竞争 对 手 ) 提 
前 知晓 。 


然而 ， 真 正 合 理 的 顾虑 是 ， 匿 名 加 密 数 字 货 币 可 以 被 用 作 洗 钱 或 者 
从 事 其 他 非法 活动 。 即 使 加 密 数 字 货 币 的 交易 本 号 可 能 是 匿名 的 ， 数 字 
货币 和 法 定货 币 之 间 的 接口 却 无 法 做 到 匿名 ， 这 可 以 说 是 一 个 好 消 乱 。 
事实 上 ， 我 们 将 在 下 一 个 章节 讨论 中 看 到 ， 这 些 数字 代 币 和 法 定货 币 之 
间 的 兑换 和 流动 被 严格 监管 着 。 因 此 加 密 数 字 货 币 也 不 是 洗钱 或 者 其 他 
金融 犯罪 的 郝 丹 妙药 。 


然后 有 人 可 能 会 问 : 我 们 是 否 可 以 设计 出 一 种 技术 ， 这 种 技术 只 人 允 
许 使 用 好 的 匿名 ， 而 茶 止 坏 的 匿名 呢 ? 事实 上 ， 计 算 机 安全 和 隐私 方面 
的 研究 者 一 直 在 探索 这 个 问题 的 答案 ,遗憾 的 是 ， 从 来 就 没有 可 行 的 方 
案 ， 因 为 我 们 用 道德 标准 分 辨 出 的 好 坏 ， 对 计算 机 技术 来 说 ， 是 没有 办 
法 区 分 的 。 在 比特 币 系 统 中 ， 如 何 让 矿工 按照 道德 标准 去 判定 哪些 交易 
应 该 被 发 布 到 区 块 链 中 ， 目 前 还 古 无 法 实现 的 。 


我 们 的 观点 是 ， 局 用 匿名 加 密 数 字 货 币 是 有 潜在 好 处 的 ， 这 也 是 其 
得 以 存在 的 原因 ， 同 时 ， 对 于 系统 的 技术 匿名 属性 和 在 使 用 货币 时 应 该 
遵守 的 法 律 规范 ， 我 们 应 该 加 以 区 分 。 匿 名 加 密 数 字 货 币 并 不 是 一 个 完 
美的 解决 方案 ， 但 可 能 是 最 优 的 一 种 折 中 方案 。 


匿名 化 和 去 中 心 化 


在 本 章 中 ， 我 们 会 看 到 很 多 次 有 关 匿 名 化 和 去 中 心 化 的 讨论 ， 通 名 
这 两 点 是 相互 矛盾 甚至 冲突 的 。 回 忆 一 下 前 言 部 分 提 到 过 的 乔 姆 
CChaum) 的 电子 现金 系统 ， 它 在 一 定 意义 上 实现 了 完美 的 匿名 性 ， 不 
过 必须 依赖 一 个 中 央 权 威 机 构 一 一 银行 的 讶 签名 协议 。 设 想 一 下 ， 这 样 
的 协议 的 去 中 心 化 将 会 非常 困难 。 如 果 我 们 强制 进行 去 中 心 化 ， 就 必须 


要 有 一 种 能 够 奶 踊 交易 并 且 防 止 双重 支出 的 机 制 。 交 易 的 这 种 公开 奶 踪 
特性 ， 就 是 对 匿名 化 的 一 种 威胁 。 


Tor = 


如 何 处 理 一 个 有 好 坏 两 面 性 的 技术 ， 比 特 币 并 不 是 唯一 一 个 面临 
这 种 道德 上 两 难 选择 问题 的 技术 。 另 外 一 个 匿名 性 设 定 有 争议 的 系统 
是 Tor， 一 个 匿名 通信 网 络 。 


一 方面 ，ITor 的 用 户 只 是 一 些 普 通 人 ， 想 保护 他 们 在 网 络 上 不 被 
跟踪 。 其 用 户 包 括 记 者 、 社 会 活动 家 和 持 不 同 政见 者 等 ， 他 们 退 求 在 
互联 网 上 的 言论 自由 而 不 用 担心 政治 迫害 。 同 时 ， 执 法 部 门 的 探 员 也 
使 用 这 个 系统 ， 监 控 在 线 嫌 疑犯 ， 而 不 会 泄露 他 们 的 了 P 地 址 《〈 毕 葛 ， 
大 家 都 知道 P 地 址 是 根据 不 同 的 组 织 机 构 来 分 配 的 ， 包 括 执法 部 
门 )。 很 显然 ，Tor 有 很 多 应 用 场景 是 我 们 从 道德 上 认可 的 。 男 一 方 
面 ， 它 也 还 有 一 些 不 好 的 应 用 场景 : 有 人 用 其 运作 僵尸 网 络 来 控制 一 
些 被 感染 的 电脑 ， 进 而 用 来 传播 淫秽 等 非法 图 片 。 


要 想 从 技术 角度 去 区 分 这 些 使 用 场景 ， 基 本 上 是 不 可 能 的 。Tor 
的 开发 者 以 及 社区 一 直 在 答 试 解决 这 个 难题 ， 全 社会 也 在 努力 尝试 。 
我 们 似乎 可 以 总 结 一 下 ， 整 体 而 言 ， 这 样 的 技术 利 大 于 次 ， 实 际 上 ， 
Tor 主 要 的 投资 方 之 一 就 是 美国 政府 ， 其 投资 兴趣 在 于 ，Tor 可 以 让 不 
同 政见 者 在 互联 网 上 发 表 自 由 言论 ， 而 不 用 担心 政治 迫害 。 同 时 ， 执 
法 部 门 也 勉强 接受 Tor 的 存在 ， 甚 至 还 开发 了 使 用 这 个 平台 的 方法 。 
FBI 也 经 常会 查封 一 些 在 “黑暗 网 络 " 上 非法 传播 色情 图 片 的 网 站 ， 即 
使 这 些 网 站 也 使 用 了 Tor 的 平台 ， 多 数 情况 是 ， 这 些 网 站 的 运营 者 被 
强 之 以 法 。 我 们 必须 要 记 住 ， 技 术 仅 仅 是 工具 ， 而 那些 犯罪 分 子 生活 
在 现实 世界 里 ， 并 可 能 留 下 各 种 犯罪 证 据 ， 或 者 在 使 用 这 些 工 具 的 时 
候 犯 一 些 人 为 错误 。 


在 本 章 6.5 节 中 ， 我 们 会 探讨 零 币 〈Zerocoin ) 和 和 零 钞 
(Zerocash) ， 这 是 一 种 匿名 化 并 且 去 中 心 化 的 加 密 数 字 货 币 系 统 ， 有 


点 类 似 于 乔 姆 的 电子 货币 〈ecash) ， 但 是 因为 上 述 两 个 限制 ， 它 们 需 
要 找到 合适 的 方法 ， 以 解决 坏 手 的 加 密 问 题 。 


1. The Onion Router， 洋 萄 路 由 ， 用 户 通过 Tor 可 以 在 互联 网 上 进行 匿名 交流 。 
注 


译 者 


6.2 如 何 对 比特 币 去 匿名 化 


我 们 已 经 强调 过 很 多 次 比特 币 仅仅 是 一 个 化 名 系统 ， 所 以 你 所 有 的 
交易 记录 或 者 交易 地 址 很 有 可 能 被 关联 在 一 起 。 让 我 们 再 进一步 讨论 这 
种 关联 是 怎么 发 生 的 。 


图 6.1 展 示 了 维基 解密 的 捐 球 页 面 上 的 一 个 片段 (包括 本 章 开 头 的 
时 候 吏 引用 的 一 段 ) ， 请 注意 那个 在 比特 币 地 址 劳 边 的 刷新 按钮 。 可 能 
你 会 期 望 通过 点 击 这 个 刷新 按钮 ， 残 会 把 接收 捐 球 的 地 址 换 成 一 个 全 新 
生成 的 地 址 。 类 似 地 ， 如 果 你 刷新 页 面 或 者 关闭 这 个 页 面 ， 重 新 再 打开 
的 时 候 ， 这 个 地 址 也 会 重新 生成 ， 而 且 是 之 前 没有 出 现 过 的 。 这 是 因 
为 ， 维 基 解 密 需 要 保证 每 接收 一 笔 新 的 捐 球 ， 都 会 对 应 一 个 新 创设 的 仅 
用 于 此 笔 捐 球 的 公 钥 。 维 基 解 密 这 么 做 就 是 最 大 限度 地 利用 了 可 以 创建 
新 化 名 功能 的 作用 。 这 事实 上 就 是 比特 币 钱包 实现 匿名 性 的 最 好 途径 。 

比特 币 是 一 个 安全 的 匿名 数字 货币 系统 ， 不 容易 被 扎 踪 ， 并 且 是 一 种 有 别 于 其 他 捐款 | 

方式 的 、 更 加 安全 和 快速 的 方法 。 你 可 以 发 送 比特 币 到 以 下 地 址 进行 捐款 : 


13DFamCvSxG8EG16VyXzdpfqxyooifswYx 人 


图 6.1 维基 解密 的 捐款 页 面 的 一 个 片段 
注 : 请 注意 那个 在 比特 币 地 址 旁边 的 刷新 按钮 。 维 基 解 密 遵 循 了 为 每 一 笔 捐 款 生 成 
一 个 新 接收 地 址 的 比特 币 匿 名 化 的 最 佳 实践 。 
你 可 能 党 得 这 些 不 同 的 地 址 一 定 是 无 法 关联 的 ， 维 基 解 密 收 到 的 不 
同 的 捐款 是 完全 分 开 的 ， 并 且 推 测 它 们 可 以 分 开 使 用 每 一 笔 捐 款 ， 但 事 
实 并 非 如 此 。 


关联 性 〈linking ) 


假设 爱丽 丝 想 要 去 买 一 个 寻 谈 ， 价 格 是 8 个 比特 币 〈 可 能 根据 2015 
年 的 比特 币 价格 ， 实 际 情况 应 该 是 8 分 比特 币 ，1 个 =100 分 ) 。 进 一 步 假 
设 ， 她 的 比特 币 分 在 三 个 不 同 的 地 址 里 面 ， 分 别 有 3、5 和 6 个 比特 币 。 
实际 上 ， 爱 丽 丝 没 有 一 个 比特 币 地 址 有 足够 的 8 个 比特 币 ， 她 必须 要 把 
两 个 输出 合并 成 一 个 单 体 输 入 ， 以 文 付 给 店铺 。 


隐形 地 址 


假设 饱 勃 要 通过 他 的 网 站 还 有 广告 牌 来 宣传 他 的 捐赠 地 址 。 现 在 
还 没有 任何 方式 可 以 将 一 个 不 同 的 地 址 显示 给 每 个 用 户 ， 必 然 地 ， 接 
收 现场 捐款 的 这 个 地 址 会 很 容易 连接 到 鲍 动 的 站 点 。 

能 够 利索 地 解决 这 个 问题 的 办 法 ， 是 利用 隐形 地 址 (stealth 
addresses) 。 它 允许 收 件 人 鲍 懿 发 布 一 个 静态 “永久 ”的 地 址 ， 任 何 发 
件 人 《比如 爱丽 丝 ) 由 此 可 以 派生 出 新 的 地 址 ， 该 地 址 的 私 钥 只 有 鲍 
勃 知道 。 

这 是 如 何 做 到 的 呢 ? 回忆 一 下 椭圆 曲线 数字 签名 算法 
(ECDSA) 中 的 公 钥 的 函数 形式 是 gx， 其 中 的 x 是 私 铀 ， 地 址 函数 是 
H(gx)。 为 了 启用 隐形 地 址 ， 鲍 支 需 要 广告 公 钥 本 映 ， 而 不 是 长 度 更 
短 的 哈 希 值 。 然 后 ， 爱 丽 丝 可 以 选取 一 个 随机 数值 "> 计算 (gx)r=gxr, 并 
且 将 钱 汇 给 这 个 公 钥 。 如 果 爱 丽 丝 能 够 单独 将 数值 rz 发 送 给 鲍 勃 ， 鸳 
勃 就 可 以 计算 出 正确 的 私 钥 区， 将 汇 到 公 钥 gxr 的 钱 花 掉 。 

这 种 方法 并 不 完美 ， 因 为 爱丽 丝 需 要 将 数值 r 发 送 给 鲍 勒 ， 而 且 
还 假定 即使 鲍 动 不 在 线 ， 比 特 币 交易 照样 运行 。 为 了 解决 这 个 问题 ， 
还 有 更 复杂 的 协议 ， 让 爱丽 丝 能 够 有 效 地 将 数值 r 租 入 比特 币 交 易 本 


喘 。 随 后 ， 鲍 勃 可 以 扫 摘 区 块 链 ， 检 测 针 对 他 的 交易 ， 并 恢复 私 钥 。 
黑暗 钱包 中 使 用 了 这 种 方法 ， 该 钱包 设计 时 冒 在 增强 隐私 ， 并 且 类 似 
的 想法 在 加 密 签名 (CryptoNote〉 这 种 另类 币 中 有 所 使 用 。 


那么 问题 来 了 ， 这 笔 交 易 会 在 区 块 链 网 络 里 有 一 个 永久 的 记录 ， 储 


何 看 到 这 个 记录 的 人 都 可 以 推 亲 ， 这 两 个 输入 型 交易 很 有 可 能 是 由 同一 
个 用 户 控 制 的 。 换 句 话 说 ， 共 至 型 消费 ， 成 为 不 同 输 入 地 址 联合 控制 的 
证 据 。 当 然 也 可 能 存在 例外 ， 有 可 能 爱丽 丝 和 鲍 动 是 同 窗 室 的 朋友 ， 决 
定 一 起 联合 购买 这 个 茶 伙 ， 并 且 分 开 付 丈 。 但 是 ， 大 体 来 说 ， 共 同 输入 


基本 上 意味 着 共同 控制 。 
3 
8 
-人 
单一 交易 


图 6.2 多 地 址 输入 交易 
注 : 为 了 支付 购买 茶 宣 的 钱 ， 爱 丽 丝 从 两 个 不 同 的 比特 币 地 址 创建 了 一 个 单一 交 
易 。 这 样 爱丽 丝 就 暴露 了 一 个 事实 ， 即 一 个 个 体 控制 了 两 个 不 同 的 地 址 。 


还 不 仅仅 如 此 ， 攻 击 者 可 以 重复 上 述 过 程 ， 从 而 一 步 一 步 将 这 个 个 
体 所 进行 的 所 有 交易 关联 起 来 。 如 果 男 外 一 个 地 址 也 关联 到 了 爱丽 丝 用 
于 交易 的 两 个 地 址 之 一 ， 那 我 们 就 知道 所 有 三 个 地 址 都 属于 同一 个 个 
体 ， 我 们 可 以 因此 建立 一 个 地 址 艇 (Clustering of addresses)。 一 般 来 说 ， 
如 果 一 个 新 地 址 的 输出 ， 和 该 地 址 簇 中 的 任何 一 个 已 知 地 址 被 一 起 花 
费 ， 那 么 这 个 新 的 地 址 也 将 会 被 加 到 该 地 址 艇 中 去 。 


在 本 章 6.4 节 ， 我 们 将 会 探讨 一 种 叫 合 币 〈CoinJoin) 的 匿名 技术 ， 


该 技术 的 工作 原理 打破 了 上 述 设想 。 但 是 到 目前 为 止 ， 对 没有 使 用 特别 
匿名 技术 的 普通 比特 币 钱包 用 户 ， 这 种 艇 技术 还 是 非常 有 效 的 。 接 下 
来 ， 我 们 很 快 将 会 讨论 如 何 把 这 种 地 址 艇 关联 到 现实 世界 的 里 份 。 


零钱 地 址 (change address) 的 随机 化 


早期 版 本 的 比特 币 类 库 [Bitcoin-Qt library， 现 在 又 称 为 比特 币 中 
心 (Bitcoin ”Core) ] 存 在 一 个 缺陷 ， 对 有 两 个 输出 地 址 的 交易 ， 它 总 
把 存放 零钱 的 输出 地 址 放 在 第 一 个 ， 这 意味 着 很 容易 分 辨 出 很 多 交易 
中 的 零钱 地 址 。 这 个 缺陷 在 2012 年 得 到 了 修复 ， 但 是 重点 在 于 : 钱包 
软件 在 保护 匿名 性 中 扮演 着 非常 重要 的 角色 ， 如 果 你 正在 开发 钱包 软 
件 ， 你 需要 格外 注意 很 多 陷阱 ， 尤 其 是 你 需要 保证 零钱 地 址 的 位 置 应 
该 永远 是 随机 的 ， 以 避免 为 攻击 者 留 下 太 多 信息 。 


再 回头 看 一 下 我 们 的 例子 。 假 设 这 个 杂谈 的 价格 从 8 个 比特 币 上 涨 
到 了 8.5 个 比特 币 ， 爱 丽 丝 发 现 ， 未 用 完 的 支出 账号 里 无 法 再 组 合生 成 
恰好 可 以 支付 这 个 共 痰 所 需要 的 金额 了 。 取 而 代 之 的 方 末 是 ， 爱 丽 丝 利 
用 交易 可 以 有 多 重 支 出 的 特性 ， 如 图 6.3 所 示 ， 支 出 的 其 中 之 一 束 是 录 
显 店 铺 的 接收 地 址 ， 而 男 外 一 个 则 是 爱丽 丝 自 己 的 “ 找 零 ”地 址 。 


现在 从 其 他 人 的 视角 来 看 这 笔 交 易 ， 他 们 可 以 推断 出 这 两 个 输入 地 
址 都 属于 同一 个 用 户 ， 他 们 甚至 可 能 怀疑 其 中 一 个 文 出 地 址 也 属于 这 个 
用 户 ， 但 是 无 法 知道 具体 是 哪 一 个 。 事 实 上 0.5 个 比特 币 虽 然 比 其 他 的 
文 出 小 ， 但 是 并 不 意味 着 这 是 一 个 零钱 地 址 ， 爱 丽 丝 可 能 有 10 000 个 比 
特 币 参与 了 交易 ， 其 中 她 支付 了 8.5 个 比特 币 用 于 购买 茶壶 ， 而 把 剩余 
的 9 991.5 个 比特 币 找 零 退 回 给 了 自己 。 在 这 样 的 场景 中 ， 更 大 的 输出 才 
古 实 际 上 的 找 零 地 址 。 


图 6. 3 零钱 地 址 
注 : 为 了 支付 购买 茶壶 的 钱 ， 爱 丽 丝 创建 了 一 个 交易 ， 这 个 交易 中 的 一 部 分 比特 币 
去 了 商家 的 钱包 ， 而 剩余 的 部 分 作为 零钱 退回 给 了 她 自己 。 


男 外 一 种 更 好 的 解释 是 ， 如 果 杂 谈 只 需要 花费 0.5 个 比特 币 ， 由 于 
不 管 是 3 个 比特 币 还 是 6 个 比特 币 的 输入 地 址 ， 都 足够 用 来 文 付 了 ， 爱 丽 
丝 根 本 不 需要 创建 两 个 不 同 输入 组 成 的 交易 。 但 是 ， 选 择 哪 种 交易 方式 
完全 取决 于 通常 使 用 的 钱包 软件 的 特性 ， 即 使 不 是 非常 有 必要 ， 钱 包 
(或 者 是 用 户 〉 还 是 可 以 随意 组 合 不 同 交 易 地 址 中 的 比特 币 来 完成 支付 
的 。 


惯用 法 则 


这 种 类 型 的 实施 细 市 被 称 为 “惯用 法 则 *(idioms of use)。2013 年 ， 一 
组 研究 人 员 发 现 了 大 多 数 钱包 软件 都 在 使 用 的 惯用 法 则 ， 并 推导 出 一 种 
用 来 鉴定 零钱 地 址 的 强大 方法 。 具 体 而 言 ， 钱 包 在 有 需要 的 时 候 痢 会 生 
成 一 个 全 新 的 地 址 ， 因 为 这 种 惯用 法 则 的 使 用 ， 这 些 新 的 地 址 通常 都 是 
从 来 没有 在 区 块 链 网 络 出 现 过 的 。 换 句 话 说 ， 非 零钱 地 址 通 第 都 不 是 新 
地 址 ， 而 是 已 经 在 区 块 链 网 络 里 出 现 过 的 ， 那 么 其 他 人 就 可 以 利用 这 个 
特性 去 分 辨 零钱 地 址 ， 并 把 它 和 输入 地 址 相关 联 。 


依赖 惯用 法 则 来 推测 零钱 地 址 可 能 会 出 错 。 事 实 上 ， 和 零钱 地 址 是 新 


地 址 这 一 特性 不 过 恰巧 是 钱包 软件 的 一 个 特性 。 在 2013 年 研究 者 测试 的 
时 候 发 现 确 实 是 这 样 ， 现 在 可 能 还 是 ， 但 也 有 可 能 不 再 如 此 了 。 用 户 可 
以 选择 罗 关 邱 原 来 的 默认 设 定 ， 节 重要 的 是 ， 当 对 手 了 解 了 这 种 技术 的 
时 候 就 可 以 很 容易 回避 ， 即 使 是 在 2013 年 ， 研 究 者 也 发 现 这 种 特征 也 会 
经 第 产生 误 报 ， 按 照 这 种 规则 可 以 归 到 一 个 艇 的 地 址 ， 不 一 定 是 属于 同 
一 个 个 体 的 。 研 究 者 声称 ， 他 们 需要 大 量 的 人 工 监督 和 干预 才能 去 除 这 
些 误 报 。 


关联 真 实 世 界 的 号 份 到 地 址 入 


在 图 6.4 中 ， 我 们 可 以 看 到 ， 米 元 尔 : 约 翰 (Meikle John) 等 人 是 如 
何 利 用 惯用 法 则 这 样 的 启发 式 算 法 来 聚 类 比特 币 地 址 的 ， 但 是 这 种 簇 没 
有 标签 一 一 也 就 是 说 ， 我 们 还 没有 关联 一 个 真实 的 身份 到 这 个 簇 。 


图 6.4 地 址 徐 
注 : 摘自 2013 年 的 一 篇 论文 “一 把 比特 币 : 寻找 支付 特征 ”。 在 一 组 没有 姓名 的 用 
户 中 ， 研 究 者 将 联合 支付 的 地 址 和 全 新 的 零钱 地 址 归 类 到 一 个 比特 币 地 址 徐 。 图 
中 ， 圆 形 的 大 小 表示 流入 这 些 地 址 往 里 的 货币 数量 ， 每 一 条 线 则 代表 一 个 交易 。 


我 们 可 以 根据 所 了 解 的 比特 币 经济 情 况 来 做 一 个 合理 的 推测 。 回 到 
2013 年 ， 门 头 沟 公 司 曾 经 是 最 大 的 比特 币 交 易 所 ， 所 以 我 们 可 以 猜测 图 
中 较 大 的 圆圈 代表 的 就 是 该 交易 所 控制 的 地 址 ， 我 们 可 能 也 注意 到 ， 图 
中 左 侧 的 深 色 的 圆圈 代表 了 很 小 的 比特 币 总 量 ， 但 同时 又 有 非常 大 的 交 
易 量 ， 这 个 特性 很 符合 叫 作 中 本 联 之 般 (Satoshi Dice) 的 在 线 比 特 币 博 
彩 游戏 ， 这 个 游戏 中 ， 你 可 以 发 送 微 小 量 的 比特 币 作为 赌注 。 总 的 来 
说 ， 这 并 不 是 一 个 很 好 的 方法 来 辨识 地 址 复 ， 这 需要 很 多 背景 知识 和 推 
测 ， 可 能 仅仅 对 特征 比较 显著 的 案例 有 效 。 


利用 交易 进行 标记 


如 果 仅仅 是 通过 访问 交易 所 或 者 商家 的 网 站 ， 以 查询 其 公布 的 接收 
比特 币 的 地 址 ， 会 怎么 样 呢 ? 这 其 实 没有 实际 意义 。 因 为 大 多 数 服务 提 
供 丙 都 会 针对 每 一 个 交易 公布 一 个 新 的 地 址 ， 而 这 个 新 地 址 还 没有 公布 
在 区 块 链 网 络 上 ， 等 待 这 些 地 址 发 生 交易 没有 意义 ， 因 为 这 些 地 址 通 帝 
不 会 再 显示 给 其 他 人 。 


唯一 可 靠 的 推断 地 址 的 方法 ， 是 通过 和 这 些 服务 提供 商 发 生 一 个 实 
际 的 交易 ， 交 存 比特 币 或 者 购买 一 个 商品 等 。 当 你 发 送 或 者 接收 比特 币 
的 时 候 ， 你 将 会 知道 它们 所 拥有 的 地 址 之 一 ， 而 且 很 快 这 个 地 址 就 会 在 
区 块 链 网 络 上 公示 (并且 是 在 其 中 一 个 簇 中 的 ) 。 于 是 你 可 以 为 这 个 簇 
打上 该 服务 丙 的 身份 标识 标签 。 


这 就 是 当时 “一 把 比特 币 ” 的 研究 者 (以 及 目 那 之 后 的 其 他 人 )〉 退 踪 
地 址 的 做 法 ， 他 们 购买 了 不 同 的 东西 ， 加 入 了 人 矿 池 ， 使 用 比特 币 交 易 
所 、 钱 包 服 务 、 博 彩 网 站 ， 以 及 其 他 一 些 和 这 些 服 务 提 供 丙 产生 比特 币 
交易 的 行为 ， 总 计 进 行 了 344 笔 交易 。 


在 图 6.5 中 ， 我 们 又 一 次 看 到 了 图 6.4 的 得， 只 不 过 这 一 次 贴 上 了 附 
加 的 标签 ， 我 们 有 关门 头 沟 公 司 和 中 本 聪 之 般 的 猜测 是 准确 的 ， 这 些 研 
究 者 同时 辨识 出 一 批 其 他 的 服务 提供 两 ， 而 如 果 不 用 交易 的 方式 是 很 难 
标识 它们 的 。 


北 识 个 人 


下 一 个 问题 是 : 我 们 是 否 可 以 对 个 人 做 同样 的 动作 ? 也 就 是 说 ， 我 
们 是 否 可 以 关联 一 些小 的 艇 以 辨识 个 人 在 真实 生活 中 的 身份 ? 


直接 交易 。 任 何人 和 茶 个 个 人 进行 比特 币 交 易 的 时 候 一 一 不 管 是 线 


上 还 是 线 下 的 商家 、 区 易 所 ， 或 者 一 个 用 比特 币 来 分 担 晚餐 账单 的 朋友 
一 一 都 可 以 通过 这 种 直接 交易 ， 了 解 到 他 们 的 有 效 地 址 (至 少 一 个 )。 
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图 6.5 标签 座 
注 : 通过 和 不 同 的 比特 币 服务 提供 商 进行 交易 ， 米 克 尔 。 约翰 等 人 得 以 辨识 并 且 标 


记 这 些 竹 在 真实 世界 中 的 身份 。 


通过 服务 提供 商 。 在 使 用 比特 币 几 个 月 甚至 几 年 的 时 间 里 ， 大 多 数 
用 户 都 会 跟 交 易 所 或 者 其 他 中 心 化 的 服务 提供 丙 有 一 些 交 集 ， 这 些 服务 
提供 商都 会 直接 询问 用 户 的 真实 身份 一 一 通常 法 律 要 求 它们 必须 这 样 
做 。 这 个 话题 我 们 将 会 在 下 一 个 章节 讨论 。 如 果 执 法 部 门 想 要 去 辨识 茶 
一 个 个 人 ， 就 可 以 直接 去 找 这 些 服务 提供 商 ， 要 求 它们 提供 数据 。 


朴 忽 。 人 们 通常 都 会 在 公共 论坛 里 公示 自己 的 比特 币 地 址 ， 一 个 通 


常 的 原因 都 是 通过 这 种 办 法 请 求 捐 助 。 当 有 人 这 么 做 的 时 候 ， 其 实 已 经 
创建 了 一 个 他 们 上 自己 的 号 份 和 他 们 某 一 个 地 址 的 关联 ， 如 采 他 们 不 使 用 
我 们 将 要 探讨 的 匿名 服务 ， 所 有 的 交易 都 将 会 面临 被 骏 露 的 风险 。 


随 看 时 间 的 推移 ， 针 对 隐私 的 攻击 会 变 得 越 来 越 有 效率 。 历 史记 录 
表明 ， 当 越 来 越 多 的 研究 者 去 研究 并 开 友 出 新 的 去 匿名 化 的 技术 时 ， 越 
来 越 多 的 数据 会 被 公开 ， 去 匿名 化 的 算法 也 由 此 随 着 时 间 的 推移 而 不 断 
得 到 改进 。 除 此 之 外 ， 会 有 越 来 越 多 的 辅助 信息 可 以 帮助 攻击 者 去 识别 
这 些 地 址 复 ， 如 果 你 非常 关心 隐私 ， 那 么 这 个 问题 就 值得 去 担忧 。 


目前 ， 我 们 探讨 的 去 匿名 化 技术 ， 都 是 基于 对 区 块 链 网 络 上 交易 图 
谱 进行 的 分 析 ， 这 些 方法 被 归纳 为 交易 图 谱 分 析 (transaction graph 


analysis) 。 


网 络 层 的 去 匿名 化 


用 户 被 去 匿名 化 ， 有 很 多 种 不 依赖 于 交易 图 谐 的 方法 。 为 了 在 区 块 
链 网 络 中 公示 一 个 交易 ， 一 种 典型 的 方法 就 是 广播 这 个 交易 到 比特 币 点 
对 点 的 网 络 中 ， 在 这 个 网 络 中 ， 消 恳 会 被 相应 地 有 发送， 但 不 一 定 要 在 区 
块 链 网 络 里 做 永久 记录 。 


在 计算 机 网 络 术 语 中 ， 区 块 链 被 归 为 应 用 层 ， 而 点 对 点 的 网 络 则 是 
网 络 层 。2011 年 ， 丹 : 卡 明 斯 基 (Dan Kaminsky) 在 黑 帽 技术 大 会 
(Black Hat) 上 首次 提出 了 网 络 层 去 匿名 化 的 概念 。 他 注意 到 ， 当 某 个 
节点 创建 一 个 交易 时 ， 该 节点 就 会 和 其 他 很 多 节点 建立 链接 并 且 广 播 该 
笔 交 易 。 如 果 网 络 上 足够 多 的 节点 串通 起 来 〈 或 者 是 被 同一 个 攻击 者 所 
控制 的 ) ， 他 们 就 能 分 辨 出 第 一 个 广播 交易 的 节点 ， 并 且 可 以 因此 推 
其， 这 个 节点 就 是 被 创建 这 个 交易 的 用 户 所 拥有 的 。 攻 击 者 因此 可 以 把 
这 个 交易 关联 到 这 个 节点 的 IP 地 址 ， 而 IP 地 址 已 经 非常 接近 于 真实 世界 


的 个 人 身份 了 一 一 有 很 多 办 法 可 以 发 现 茶 个 了 地 址 背后 的 用 户 吴 份 。 因 
此 ， 网 络 层 去 匿名 化 就 是 隐私 保护 的 一 个 非常 严重 的 问题 “参见 图 
6.6) 。 


图 6.6 网 络 层 去 匿名 化 
注 : 正如 丹 。 卡 明 斯 基 在 2011 年 黑 帆 技术 大 会 上 的 演讲 中 指出 的 ，“ 第 一 个 通知 交 
易 的 节点 很 有 可 能 就 是 交易 源头 ”。 当 有 多 个 节点 配合 并 且 对 同一 个 交易 源头 进行 


识别 的 时 候 ， 这 种 方法 的 实际 效果 会 更 加 明显 。 

笠 运 的 是 ， 这 是 一 个 通信 匿名 性 的 问题 ， 已 丝 有 很 多 研究 在 探索 这 
个 课题 。 正 如 我 们 前 面 在 6.1 节 中 已 经 看 到 的 ，Tor 这 个 使 用 很 广泛 的 系 
统 就 是 用 来 实现 通信 匿名 性 的 。 


在 使 用 Tor 系 统 为 比特 币 实现 网 络 层 匿名 化 的 解雇 方案 的 时 候 ， 有 
几 个 注意 事项 。 首 先 ， 在 Tor 的 协议 和 任何 基于 此 协议 的 上 层 协议 之 


间 ， 可 能 会 有 一 些 复杂 的 交互 ， 由 此 可 能 会 导致 新 的 破坏 匿名 化 的 方 

法 。 事 实 上 ， 研 究 者 已 经 发 现 ， 在 使 用 Tor 协 议 之 上 的 比特 币 时 ， 存 在 
一 些 潜 在 的 安全 问题 ， 使 用 这 个 方案 的 时 候 一 定 要 非常 小 心 。 其 次 ， 可 
能 有 其 他 一 些 匿名 通信 的 技术 ， 会 更 适合 比特 币 的 使 用 。Tor 的 定位 是 
针对 那些 低 延 迟 的 活动 ， 比 如 网 页 浏览 。 在 网 页 浏览 的 时 候 ， 你 也 不 想 
坐 在 那里 等 半天 ， 因 此 要 取得 低 延 迟 ， 在 匿名 化 方面 可 能 要 做 出 茶 些 牺 
牲 。 相 反 ， 比 特 币 则 是 一 个 高 延迟 的 系统 ， 因 为 比特 币 交 易 需 要 人 花 时 间 
来 获得 区 块 链 上 的 确认 。 因 此 ， 至 少 在 理论 上 我 们 可 能 更 希望 使 用 男 外 
一 种 蔡 代 方案 来 实现 匿名 性 ， 比 如 混 币 网 络 (Mix ”Net， 参 见 本 章 6.3 
节 ) 。 但 就 目前 来 说 ， 作 为 一 个 实际 在 运行 的 并 且 有 广大 用 户 基 础 的 系 
统 ，Tor 还 是 有 一 些 优势 的 ， 而 且 这 些 用 户 的 安全 问题 已 经 被 集中 地 研 
Ns 


到 目前 为 止 ， 我们 已 经 看 到 ， 通 过 交易 图 谱 分 析 的 方法 ， 不 同 的 地 
址 有 可 能 被 关联 在 一 起 ， 甚 至 有 可 能 进一步 被 关联 到 真实 世界 的 里 份 。 
我 们 也 看 到 ， 基 于 点 对 点 网 络 ， 交 易 或 者 地 址 可 能 会 被 天 联 到 一 个 IP 地 
址 。 对 后 一 个 问题 ， 虽 然 我 们 现在 还 不 能 说 可 以 完全 解决 ， 但 至 少 解决 
起 来 相对 容易 。 前 一 个 问题 束 要 麻烦 很 多 ， 我 们 将 在 本 章 的 后 续 部 分 ， 
继续 探讨 如 何 去 解决 它 。 


6.3 泥 币 


有 一 些 机 制 可 以 使 得 交易 图 详 分 析 变 得 不 那么 有 效 ， 其 中 一 种 束 是 
混 币 《Mixing) ， 这 种 技术 背后 的 逻辑 其 实 很 简单 : 如果 你 想 要 匿名 
化 ， 那 就 使 用 一 个 中 介 媒 体 。 这 个 原则 不 是 特别 针对 比特 币 的 ， 在 很 多 
需要 实现 匿名 性 的 情形 下 都 很 有 用 。 图 6.7 展 示 的 就 是 混 币 模式 。 
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图 6. 7 混 币 模式 
注 : 用 户 发 送 比 特 币 给 一 个 中 介 媒 体 ， 并 通过 其 他 的 用 户 回收 比特 币 。 这 就 使 得 在 
区 块 链 上 追踪 一 个 用 户 的 比特 币 ， 变 得 更 加 困难 。 


混 币 在 线 钱 包 


如 果 你 还 记得 我 们 有 关 在 线 钱 包 的 讨论 ， 那 么 在 线 钱 包 貌 似 就 适合 
作 一 个 交易 中 介 。 在 线 钱包 提供 了 一 种 在 线 存 储 和 提取 比特 币 的 服务 ， 
存储 和 提取 可 以 在 不 同 的 时 间 发 生 。 通 常 ， 你 提取 的 比特 币 有 别 于 你 存 
储 的 比特 币 ， 那 么 ， 是 否 这 就 意味 着 ， 在 线 钱 包 提供 了 一 种 有 效 的 温 币 
服务 呢 ? 


在 线 钱包 确实 提供 了 一 个 去 关联 性 的 方法 ， 这 可 以 阻止 交易 图 谱 分 
析 类 型 的 攻击 尝试 ， 在 一 个 具体 的 案例 中 ， 一 些 杰 出 的 研究 者 不 得 不 回 
撤 一 个 面向 公众 的 申明 ， 因 为 他 们 之 前 发 现 的 一 个 关联 ， 其 实 只 是 在 线 
钱包 提供 的 一 个 伪 关 联 。 


从 男 外 一 个 角度 看 ， 使 用 在 线 钱 包 来 做 混 币 服务 ， 也 存在 一 些 严重 
的 局 限 性 。 首 先 ， 大 多 数 在 线 钱包 并 不 能 保证 一 定 能 实现 混 币 功效 ， 它 
们 实现 混 币 的 功能 ， 其 实 是 因为 这 样 做 简化 了 开发 工程 。 作 为 用 户 ， 你 
得 不 到 它们 不 会 去 变更 其 混 币 模式 的 保证 。 其 次 ， 即 使 它们 实现 了 混 
币 ， 其 内 部 也 会 保留 一 份 记录 ， 用 来 匹配 你 的 存 入 和 提取 。 这 不 仅 是 出 
于 安全 性 的 考虑 ， 也 是 根据 合 规 要 求 的 审 惯 做 法 。 所 以 说 ， 如 果 你 的 威 
胁 模型 会 考虑 服务 提供 商 本 里 会 跟踪 你 ， 或 者 服务 提供 商 被 黑客 攻击 ， 
又 或 者 服务 提供 商 被 迫 提供 它们 的 记录 等 这 些 可 能 性 ， 你 就 又 回 到 了 原 
扩 。 最 后 ， 除 了 保留 内 部 记录 之 外 ， 声 誉 好 的 且 受 监管 的 服务 提供 两， 
也 会 要 求 你 提供 个 人 身份 以 进行 记录 (我们 将 在 第 7 章 中 具体 讨论 监管 
问题 》。 你 无 法 简单 地 通过 一 个 用 户 名 和 密码 ， 束 能 够 创建 一 个 账号 。 
所 以 ， 在 东 种 意义 上 ， 这 可 能 比 你 不 用 钱包 服务 还 糟糕 。 


在 线 钱包 服务 所 提供 的 匿名 性 ， 和 传统 银行 所 提供 的 服务 类 似 ， 都 
有 一 个 知道 所 有 用 户 的 交易 记录 的 中 央 媒 介 。 对 一 个 没有 特权 信息 的 陌 
生 人 来 说 ， 我 们 具备 了 一 定 程 度 的 隐私 。 但 是 ， 正 如 我 们 讨论 过 的 ， 区 
块 链 的 公共 属性 意味 着 ， 如 宁 发 生 任何 问题 〈 比 如 ， 钱 包 或 者 交易 所 服 
务 被 黑客 攻击 而 导致 内 部 数据 的 暴露 ) ， 陷 私 风 险 会 比 传统 的 银行 系统 
更 大 。 除 此 之 外 ， 越 来 越 多 的 人 吏 是 因为 不 满意 传统 系统 的 匿名 性 ， 并 
想 要 一 个 更 好 的 《或 者 不 同 的 ) 匿名 性 保障 才 转 加 使 用 比特 币 ， 这 些 都 
征用 户 使 用 专项 混 币 服务 的 动力 。 


专项 混 币 服务 


不 同 于 在 线 钱包 ， 专 门 的 混 币 服务 既 可 以 保证 不 留 记 录 ， 又 不 需要 
你 的 号 份 验证 。 你 甚至 不 需要 一 个 用 户 名 或 者 其 他 化 名 来 使 用 这 项 服 
务 ， 只 需要 发 送 比特 币 到 混 币 服务 提供 的 地 址 ， 并 且 告诉 交易 服务 提供 
商 你 发 送 的 比特 币 所 需要 达到 的 地 址 ， 混 币 服务 提供 商 就 会 帮 你 转 过 去 
相同 数量 的 比特 币 〈 不 是 你 发 送 的 比特 币 ) 。 本 质 上 ， 这 是 一 种 互 换 。 


同时 ， 为 一 个 好 处 是 这 种 专项 混 币 服务 承诺 不 会 保留 记录 ， 这 看 上 
去 不 错 。 但 你 必须 要 信任 它们 会 信守 承诺， 并 且 你 还 必须 相信 它们 最 终 
会 帮 你 完成 转账 。 不 像 在 线 钱包 ， 由 于 混 币 服务 并 不 提供 一 个 存储 比特 


币 的 地 方 ， 你 需要 混合 后 的 比特 币 尽快 回 到 目 己 手中 。 这 也 就 意味 着 ， 
混 币 池 中 将 要 和 你 刚刚 存 入 的 比特 币 混 在 一 起 的 其 他 比特 币 总 量 会 非常 
少 ， 大 概 就 是 在 你 的 比特 币 存 入 的 同时 其 他 人 存 入 的 数量 。 


混合 (mix) 和 洗钱 (laundry ) 


在 这 本 书 里 ， 我 们 使 用 了 一 个 术语 混合 ， 特 指 一 个 专项 的 混 币 服 
务 ， 也 有 些 人 比较 倾 回 于 用 为 外 一 个 同样 意思 的 术语 mixer。 

你 可 能 也 遇 到 了 洗钱 这 个 词 ， 我 们 并 不 喜欢 这 个 词 ， 因 为 这 个 词 
不 必要 地 关联 到 了 一 个 道德 评价 的 问题 ， 而 实际 上 我 们 讨论 的 是 一 个 
纯 技 术 的 概念 。 正 如 我 们 所 见 ， 为 什么 你 需要 保护 你 在 比特 币 运 用 中 
的 隐私 ， 并 且 使 用 混 币 服务 来 保护 你 的 日 党 隐私 ， 你 有 很 多 很 好 的 理 
由 。 当 然 我 们 也 需要 了 解 它 的 负面 作用 ， 但 是 洗钱 这 样 的 描述 加 重 了 
负面 含义 ， 因 为 这 可 能 带 了 一 种 上 暗示， 暗示 你 的 比特 币 是 “ 脏 > 的 ， 需 
要 洗 干 净 。 

还 有 另外 一 个 词 翻 洗 (tumbler) ， 这 次 词 的 含义 不 是 很 清楚 ， 可 
会 被 理解 为 翻滚 式 混 币 的 一 种 行为 ， 或 者 是 指 因此 而 带 来 的 清洗 效 
(在 宇 石 之 类 的 范畴 ) 。 不 管 怎么 说 ， 我 们 还 是 坚持 使 用 “mix” 这 


能 
打 


样 一 个 词 。 


混 币 准则 


有 一 组 研究 者 ， 包 括 本 书 5 个 作者 中 的 4 个 ， 研 究 了 混 币 模式 ， 不 仅 
仅 是 从 增强 匿名 性 的 角度 ， 而 且 还 从 安全 信任 等 级 方面 ， 提 出 了 一 系列 
改进 混 币 运作 的 方案 ， 我 们 将 深入 探讨 这 些 准 则 。 


多 重 论 币 的 使 用 


首要 的 原则 是 使 用 多 重 混 币 服务 ， 一 环 套 一 环 ， 而 不 是 仅 使 用 单 次 
混 币 〈 参 见 图 6.8) 。 这 是 一 个 已 经 被 广泛 接受 并 且 已 经 比较 完善 的 原 
则 ， 例 如 ， 正 如 我 们 简要 探讨 过 的 Tor 系 统 ， 使 用 了 三 重 路 由 方式 的 匿 
名 通信 。 这 可 以 减少 你 对 单一 混 币 服务 提供 者 可 信赖 性 的 依赖 。 只 要 这 
一 系列 中 的 任何 一 个 混 币 服务 提供 者 信守 承诺 并 删除 了 记录 ， 你 就 有 理 
由 相信 ， 没 有 任何 人 能 够 将 你 的 原始 输入 关联 到 你 最 终 接收 到 的 输出 。 


混 币 1 混 币 2 混 币 3 


图 6.8 多 重 混 币 
注 : 我 们 从 一 个 持 有 比特 币 或 者 输入 地 址 的 用 户 开 始 ， 且 假设 该 用 户 已 经 被 其 他 人 


关联 到 了 其 具体 身份 。 该 用 户 通过 混 币 服务 提供 商 来 发 送 比特 币 ， 每 次 都 需要 提供 
一 个 全 新 产生 的 输出 地 址 ， 只 要 能 够 在 所 提供 的 至 少 一 个 混 币 环节 销毁 输入 和 输出 
匹配 的 记录 ， 而 且 没 有 其 他 渠道 可 以 泄露 相关 信息 ， 其 他 人 就 无 法 把 用 户 最 初 发 送 
的 比特 币 和 最 终 接 收 的 比特 币 关联 起 来 。 


一 致 性 交易 ‘(uniform transactions ) 


在 混 币 交易 中 ， 如 宋 不 同 用 户 使 用 了 不 同 数量 的 比特 币 ， 这 样 的 混 
币 不 一 定 会 非常 有 效 。 由 于 初始 进入 和 从 混 币 过 程 中 出 来 的 比特 币 数量 
必须 要 一 至， 就 可 以 通过 观察 系 用 户 的 比特 币 在 混 币 过 程 中 的 流入 流出 
而 建立 起 一 个 关联 ， 或 者 至 少 会 极 大 地 减少 匿名 集中 的 交易 数量 。 


相反 ， 我 们 需要 混 币 中 的 交易 价值 能 够 服从 平均 分 布 ， 从 而 节 小 化 
被 关联 的 可 能 性 。 所 有 的 混 币 服务 都 应 该 对 使 用 的 块 大 小 “chunk 
size) 达成 一 致 ， 也 惑 是 说 ， 使 用 一 个 固定 的 混 币 输入 值 ， 就 可 以 增强 
所 有 通过 混 币 服务 的 交易 匿名 性 。 因 为 所 有 的 交易 看 起 来 都 一 样 ， 而 不 
能 通过 交易 价值 的 不 同 ， 分 辨 出 不 一 样 的 地 方 。 再 者 ， 在 所 有 的 混 币 中 
使 用 统一 的 大 小 ， 可 以 让 使 用 多 重 混 币 更 加 容易 ， 而 不 需要 去 拆 分 和 合 
并 其 中 的 交易 。 


在 实际 运作 中 ， 对 所 有 用 户 统一 交易 块 大 小 可 能 会 比较 困难 。 如 宋 
我 们 选择 的 块 太 大 ， 对 想 使 用 混 币 来 处 理 少 量 比特 币 的 用 户 则 不 适用 ; 
而 如 果 选 择 的 块 太 小 ， 那 么 想 处 理 大 额 交 易 的 用 户 可 能 需要 把 交易 拆 成 
大 量 的 小 额 区 易 ， 这 种 做 法 会 非常 没有 效率 而 且 成 本 很 高 。 多 标准 块 大 
小 则 可 以 改善 性 能 ， 但 是 不 同 的 块 大 小 也 会 相应 地 分 割 交 易 匿名 集 。 或 
许 一 系列 渐 增 的 两 到 三 个 块 大 小 ， 有 可 能 会 在 效率 和 隐私 程度 之 间 达 到 
一 种 合理 的 平衡 。 


客户 痛 目 动 化 


除了 在 基于 交易 量 的 关联 尝试 之 外 ， 一 些 聪 明 的 攻击 者 会 尝试 其 他 
不 同 的 方法 ， 例 如 观察 交易 发 生 的 时 间 。 这 些 攻击 其 实 可 以 防范 ， 但 必 


要 的 预防 措施 对 于 人 类 来 说 太 过 复杂 和 麻烦 。 相 反 ， 混 币 服 务 的 客户 端 
功能 应 该 是 目 动 化 的 ， 并 且 是 隐私 保护 比较 好 的 钱包 内 置 功能 。 


于 续费 应 该 是 要 么 全 有 要 么 全 无 


混 币 服务 是 一 种 有 收益 期 望 的 生意 。 一 种 计 费 的 方式 是 从 每 一 笔 交 
易 中 分 成 ， 但 是 这 种 方法 对 匿名 性 的 实施 是 有 问题 的 ， 因 为 混 币 不 再 是 
统一 的 大 小 。〔 如 果 用 户 尝 试 去 分 拆 和 合并 较 小 的 交易 块 使 得 交易 大 小 
回 到 初始 的 状态 ， 那 就 有 可 能 剖 来 严重 的 并 且 难 以 分 析 的 匿名 被 骏 露 的 
风险 ， 因 为 有 更 多 的 新 的 有 关 交 易 中 的 比特 币 的 关联 会 产生 。) 


不 要 把 交易 手续 费 和 混 币 服务 费 混为一谈 ， 交 易手 续费 是 矿工 所 
获得 的 ， 混 币 服务 费 是 在 此 之 上 的 额外 的 费用 。 


为 了 避免 这 个 问题 ， 混 币 服务 费 应 该 是 要 么 全 有 要 么 全 无 ， 并 且 依 
概率 规则 来 应 用 。 换 句 话 说 ， 混 币 服 务 提供 商 应 该 要 么 在 很 小 的 概率 情 
况 下 获得 所 有 的 交易 金额 ， 要 么 完全 不 收费 。 举 例 来 说 ， 如 果 混 币 服务 
商 想 要 按照 0.1% 收 费 ， 那 么 应 该 是 每 1 000 次 交易 中 有 一 次 服务 提供 丙 
获得 整个 交易 金额 ， 而 其 他 的 999 次 则 不 收 任何 费用 。 


这 个 会 很 难 实现 ， 混 币 服务 商 需 要 做 出 一 个 概率 决策 ， 并 且 要 让 用 
户 信服 它们 没有 作弊 ， 也 就 是 说 ， 在 它们 的 随机 数 生 成 器 中 没有 做 过 任 
何 概率 侦 置 设 定 。 比 如 ， 获 得 整个 交易 金额 的 概率 是 19% 而 不 是 0.19%。 
加 密 学 提供 了 一 个 很 好 的 办 法 ， 你 可 以 参考 下 面 将 要 延伸 阅读 章节 中 提 
到 的 有 关 混 币 的 论文 ， 以 获取 更 多 的 细节 ， 在 这 篇 论文 中 ， 也 提 到 了 可 
以 让 混 币 服务 提供 丙 提 高 公信 力 的 多 种 其 他 方式 。 


混 币 实践 


直至 2015 年 ， 还 不 存在 一 个 正常 运行 的 混 币 生 态 系统 。 市 场 上 有 很 
多 的 混 币 服务 ， 但 是 都 只 有 比较 低 的 交易 量 ， 因 此 它们 的 匿名 组 合 比较 
小 。 更 糟糕 的 是 ， 许 多 混 币 服务 提供 商 被 报告 有 盗 币 行为 ， 或 许 “ 自 
举 ” 这 样 一 个 生态 系统 太 难 ， 正 是 混 币 系统 从 来 没有 良好 运行 过 的 一 个 
原因 。 基 于 混 币 服务 提供 商 狐 独 的 名 声 ， 并 没有 多 少 人 想 要 使 用 它们 的 
服务 ， 这 也 导致 了 较 低 的 交易 量 ， 进 而 导致 了 不 好 的 匿名 保护 。 老 话说 
得 好 ， 大 隐隐 于 市 (anonymity loves company) ， 也 就 是 说 ， 越 多 人 使 
用 一 个 匿名 服务 ， 那 么 这 个 服务 能 提供 的 匿名 性 就 越 局 。 进 一 步 来 说 ， 
由 于 提供 服务 并 没有 太 多 利益 可 图 ， 服 务 提供 商 可 能 会 尝试 去 盗 取 客户 
的 资金 ， 这 会 使 得 混 币 服务 提供 商 的 公信 力 出 现 持 续 的 恶性 循环 。 


当前 ， 混 币 服务 提供 商 并 没有 遵循 我 们 所 探讨 的 任何 原则 。 每 一 个 
服务 提供 商都 是 独立 运营 的 ， 并 且 通 第 都 会 提供 给 用 户 一 个 网 页 接口 ， 
让 用 户 手工 输入 收 钱 地 址 和 其 他 一 些 必 要 的 参数 。 用 户 可 以 选择 他 们 需 
要 进行 混 币 交易 的 数量 ， 服 务 提 供 商 针对 每 一 笔 交 易 收取 提成 来 作为 服 
务 费 ， 然 后 发 送 剩 余 的 比特 币 到 用 户 指定 的 目标 地 址 。 


我 们 认为 ， 对 混 币 服务 提供 商 〈( 和 钱包 软件 提供 商 ) 来 说 ， 为 了 可 
以 获取 更 强 的 匿名 性 ， 抵 御 智 能 攻击 ， 提 供 一 个 高 可 用 性 的 接口 ， 进 而 
吸引 更 多 的 交易 量 ， 实 施 我 们 介绍 的 模式 是 很 有 必要 的 。 然 而 ， 运 今 为 
止 ， 我 们 还 是 没有 看 到 过 一 个 比较 强健 的 混 币 生态 系统 。 


6.4 分 布 式 泥 币 


分 布 式 混 币 (Decentralized Mixing) ， 不同 于 一 般 的 混 币 交易 ， 指 
的 是 用 一 种 用 户 之 间 的 点 对 点 模式 实现 混 币 交易 的 协议 。 正 如 你 可 以 想 
象 的 ， 这 种 方式 在 理念 上 与 比特 币 更 加 契合 。 


分 布 式 模 式 具 有 更 高 的 可 操作 性 。 首 先 ， 分 布 式 没有 自 举 的 问题 ， 
用 户 不 需要 等 待 一 个 有 公信 和 力 的 集中 式 混 币 提供 丙 出 现 。 其 次 ， 盗 币 行 
为 在 分 布 式 混 币 模式 下 几乎 不 太 可 能 发 生 ， 这 种 协议 可 以 保证 你 可 以 收 
回 你 在 进行 混 币 交 易 时 等 值 的 比特 币 ， 正 是 因为 这 一 点 ， 即 便 是 要 进行 
一 些 对 分 布 式 混 币 有 用 的 中 心 化 的 协作 ， 由 于 无 须 说 服 别 人 目 己 是 值得 
信任 的 ， 任 何人 都 可 以 更 加 容易 地 设置 并 提供 这 样 的 服务 。 最 后 ， 在 某 
些 方式 中 ， 分 布 式 混 币 模式 可 以 提供 更 好 的 匿名 性 。 


合 币 


分 布 式 混 币 模式 的 主要 方案 被 称 为 合 币 〈Coinjoin) 。 在 这 个 协议 
中 ， 不 同 的 用 户 共同 创建 一 个 单一 的 比特 币 交 易 ， 该 交易 包含 所 有 的 用 
户 输入 。 证 合 币 得 以 有 效 运作 的 核心 技术 原理 为 : 当 一 个 交易 拥有 多 个 
来 目 不 同 地 址 的 输入 时 ， 来 目 每 一 个 输入 的 签名 都 是 分 离 并 且 相互 独立 
的 ， 所 以 这 些 不 同 的 地 址 可 以 被 不 同 的 人 所 控制 ， 而 不 需要 任何 一 方 来 
提取 所 有 的 私 钥 (参见 图 6.9)〉。 


图 6.9 合 币 交易 


这 样 就 可 以 让 一 组 用 户 通 过 使 用 单一 交易 来 进行 混 币 交易 。 每 一 个 
用 户 提供 一 个 输入 和 输出 地 址 ， 然 后 组 合 起 来 就 形成 一 个 交易 。 由 于 输 
入 和 输出 地 址 的 顺序 是 随机 的 ， 因 此 攻击 者 无 法 建立 输入 和 输出 的 匹配 
关系 。 参 与 者 可 以 查询 他 们 的 输出 地 址 已 经 包含 在 交易 里 ， 并 且 会 接收 
到 和 他 们 输入 时 数量 相同 的 比特 币 ( 减 去 所 有 的 交易 手续 费 ) 。 一 旦 他 
们 确认 了 这 些 ， 就 可 以 对 这 个 交易 进行 确认 签名 。 


当 其 他 人 在 区 块 链 网 络 上 查询 这 笔 交 易 的 时 候 ， 即 使 他 们 知道 这 是 
一 笔 合 币 交易 ， 也 不 能 确定 输入 地 址 和 输出 地 址 的 匹配 。 从 一 个 外 来 者 
来 看 ， 这 些 比特 币 已 经 被 充分 混 币 了 ， 这 就 是 合 币 的 精髓 。 


到 目前 为 止 ， 我们 已 经 描述 了 一 轮 混 币 交易 ， 但 是 我 们 在 6.3 节 中 
讨论 的 原则 仍然 适用 ， 你 想 要 (想必 会 ) 和 不 同 组 的 用 户 重复 这 样 的 流 
程 ， 你 也 想 保证 这 些 交 易 比特 币 块 大 小 是 标准 的 ， 这 样 就 避免 了 无 意 中 
引入 会 造成 信息 泄露 的 旁 路 。 


现在 让 我 们 来 探 客 一 下 合 币 的 细节 ， 我 们 可 以 把 该 流程 分 为 5 个 步 


1. 找 到 想 要 混 币 的 交易 对 手 ， 作 为 节点 。 
2. 交 换 输入 / 输出 地 址 。 


3. 建 立交 易 。 


4. 发 送 这 个 交易 给 其 他 人 ， 每 一 个 节点 在 确认 他 们 的 输出 地 址 之 
后 ， 进 行 签名 。 


5. 三 播 这 个 交易 。 


一 组 想 要 进行 混 币 的 节点 ， 首 移 需要 发 现 彼此。 这 个 动作 需要 由 一 
个 服务 器 来 完成 ， 其 角色 有 点 像 一 个 “饮水 坑 ”(watering holes) 三， 多 
许 这 一 组 用 户 互 相连 接 并 组 合 在 一 起 。 不 像 中 心 化 的 混 币 服务 ， 这 些 服 
务 嚣 既 不 可 能 有 机 会 盗 取 用 户 的 资金 ， 也 不 可 能 危及 用 户 的 匿名 性 。 


一 旦 一 组 节点 形成 ， 这 些 节 点 必须 要 互相 交换 它们 的 输入 和 输出 地 
址 。 地 址 交换 中 要 保证 即便 是 组 中 其 他 节点 也 不 能 知道 这 些 输 入 和 输出 
地 址 之 间 的 匹配 关系 。 这 一 点 非常 重要 ， 否 则 即使 你 与 一 组 看 上 去 随机 
的 节点 进行 了 合 币 交易 ， 攻 击 者 还 是 有 可 能 伪装 自己 进入 这 个 节点 组 ， 
并 由 此 获取 输入 和 输出 的 对 应 匹配 。 要 做 到 无 关联 的 地 址 交换 ， 我 们 就 
需要 一 种 匿名 通信 协议 。 我 们 可 以 使 用 之 前 探讨 过 的 Tor 网 络 ， 或 者 一 
种 被 称 为 加 密 混 币 网 络 (mix-net) 的 特殊 目的 匿名 路 由 协议 。 


输入 和 输出 地 址 信息 一 经 传达 ， 其 中 一 个 用 户 _ 不 管 是 谁 _ 将 
会 基于 这 些 相对 应 的 输入 和 输出 地 址 构建 一 个 交易 ， 这 个 未 被 签名 过 的 
交易 将 会 被 转发 传递 ， 每 一 个 节点 都 会 验证 这 个 输入 和 输出 地 址 是 否 
确 ， 并 且 签 名 确认 。 


如 琳 所 有 的 节操 都 遵循 这 个 协议 ， 那 么 这 个 系统 就 会 正常 工作 。 任 
何 一 个 节点 都 可 以 组 装 交 易 ， 并 且 任 何 一 个 节点 都 可 以 将 这 个 交易 广播 
到 网 络 中 ， 甚 至 这 些 节 氮 中 的 两 个 可 以 独立 广播 ， 当 然 ， 这 个 交易 只 会 


在 区 块 链 网 络 中 个 公布 一 次 。 但 是 ， 如 果 一 个 或 多 个 市 扣 想 要 进行 破 
坏 ， 那 么 司 动 一 个 拒绝 服务 攻击 并 阻止 这 个 协议 完成 ， 是 很 简单 的 事 
情 。 


特别 地 ， 一 个 市 把 可 以 参与 协议 的 第 一 阶段 ， 提 供 输入 和 输出 地 
址 ， 但 拒绝 在 第 二 阶段 进行 签名 。 或 者 ， 也 可 能 是 ， 在 对 交易 进行 签名 
确认 之 后 ， 一 个 想 要 破坏 交易 的 节点 可 以 尝试 使 用 它 所 提供 给 其 他 市 点 
的 输入 地 址 到 其 他 的 交易 中 去 ， 如 末 男 一 交易 在 网 络 中 被 抢先 确认 ， 那 
么 合 币 交易 就 会 被 当 作 双重 文 付 交 易 而 被 拒绝 。 


在 合 币 交易 中 ， 有 多 种 方案 可 以 防止 拒绝 服务 式 攻 击 。 其 中 一 个 吏 
古 对 协议 中 参与 交易 的 节点 施加 成 本 ， 不 管 是 通过 一 种 工作 证 明 机 制 
《类似 于 挖 矿 ) ， 或 者 是 通过 一 种 销毁 证 明 机 制 〈“ 一 种 可 证 实 能 销毁 你 
所 拥有 的 微量 比特 币 的 技术 ， 这 一 点 我 们 在 第 3 章 探 讨 过 ) 。 为 外 的 办 
法 包括 ， 使 用 一 些 密码 学 手段 鉴别 不 符合 规定 的 参与 者 ， 并 且 可 以 把 它 
们 从 市 点 组 里 吻 除 。 在 本 间 结 尾 处 ， 我 们 会 看 到 一 些 相 关 细 市 。 


高 风险 交易 流 (high-level flows) 


我 们 之 前 谈 到 过 旁 路 攻击 。 现 在 我 们 来 仔细 看 一 下 产生 旁 路 的 委 

机 。 我 们 假设 ， 通 过 一 个 特定 的 地 址 ， 爱 丽 丝 每 周 都 固定 地 收 到 一 定数 
量 的 比特 币 ， 比 如 43.12312 个 比特 币 ， 有 可 能 这 是 她 的 薪水 。 进 一 步 假 
设 她 有 一 个 习惯 ， 每 当 收 到 这 笔 资 金 的 时 候 就 把 其 中 的 5% 立 刻 自 动 存 
入 另外 一 个 比特 币 地 址 ， 那 是 她 的 退休 基金 账号 。 我 们 将 这 种 转账 模式 
称 为 高 风险 交易 流 。 在 这 种 情况 下 ， 没 有 一 种 混 币 模式 可 以 隐藏 这 两 个 
地 址 之 间 的 关系 ， 考 虑 到 这 种 行为 模式 会 在 区 块 链 网 络 中 是 透明 可 见 的 
一 一 这 样 特定 了 金额 和 时 间 的 行为 ， 几 乎 不 可 能 是 偶然 发 生 的 。 


有 一 种 技术 ， 可 以 帮助 用 户 在 高 风险 交易 流 的 情形 下 重 获 无 关联 


性 ， 这 种 技术 叫 作 合并 规避 (merge avoidance) ， 是 由 比特 币 创 始 人 迈 
元: 赫 因 (Mike Heam) 提出 的 。 一 般 来 说 ， 为 了 完成 一 笔 文 付 ， 用 户 会 
尽 可 能 地 组 合 所 拥有 的 比特 币 ， 以 便 有 足够 多 的 数额 可 以 文 付 到 单一 接 
收 地 址 来 完成 交易 。 他 们 是 否 可 以 规避 会 导致 所 有 输入 地 址 被 关联 在 一 
起 的 合并 行为 呢 ? 这 种 合并 规避 协议 通过 允许 接收 方 提供 多 个 输出 地 址 
的 方式 〈 尽 可 能 多 的 ) ， 使 得 无 关联 性 成 为 可 能 。 发 送 方 和 接收 方 可 以 
达成 一 致 ， 通 过 把 一 个 数额 较 大 的 文 付 分 拆 为 一 组 小 面值 的 文 付 方式 ， 
使 得 这 个 文 付 使 用 多 个 交易 来 完成 ， 如 网 6.10 所 示 。 


图 6. 10 合并 规避 


注 : 爱丽 丝 想 要 用 8 个 比特 币 去 购买 一 只 茶壶 ， 店 铺 提供 了 两 个 地 址 给 她 ， 她 可 以 支 
付 5 个 比特 币 到 其 中 一 个 地 址 而 支付 3 个 比特 币 到 另外 一 个 地 址 ， 与 她 的 可 用 输入 资 
金 匹 配 了 ， 这 样 就 可 以 避免 暴露 两 个 地 址 都 是 属于 爱丽 丝 的 事实 。 

假设 ， 店 铺 最 终 将 这 两 笔 文 付 和 收 到 的 其 他 支付 合并 在 了 一 起 ， 这 
两 个 地 址 就 不 再 是 很 明显 互相 关联 的 了 。 店 铺 应 该 避免 在 收 球 的 同时 ， 
马上 重新 把 这 两 个 输入 合并 在 一 起 ， 否 则 这 两 个 输入 来 自 同 一 个 个 体 的 
事实 还 是 会 很 明显 。 当 然 ， 爱 丽 丝 也 要 避免 在 同一 时 间 发 送 这 两 笔 支 付 
交易 ? 这 也 有 可 能 类 似 地 骏 露 信 县 | 


总 的 来 说 ， 合 并 规避 可 以 帮助 缓解 高 风险 交易 流 的 问题 : 如 果 某 一 
个 交易 流水 被 拆 分 成 许多 互相 无 法 关联 的 小 额 流水 ， 攻 击 者 可 能 就 不 会 
辨别 这 个 交易 。 这 样 做 也 可 以 使 依赖 于 识别 单一 交易 中 共 时 花费 的 多 个 
比特 币 的 地 址 簇 技术 失效 。 


这 个 比喻 来 自 非洲 草原 上 的 饮水 坑 ， 需 要 饮水 的 动物 都 会 到 坑 边 去 。 扔 食 动 物 也 党 
常 在 坑 边 埋伏 捕猎 。 在 网 络 安 全 上 ， 这 种 类 似 “ 饮 水 坑 ” 的 网 站 也 往往 是 黑客 选择 攻击 目标 
的 场所 ， 此 类 攻击 也 被 称 作 “ 水 坑 攻 击 ”。 


l 


6.5 去 币 和 和 雪 钞 


在 零 币 和 和 零 钞 陆续 出 现 之 前 ， 还 没有 哪个 加 密 数 字 货 币 的 匿名 化 方 
案 可 以 让 人 如 此 兴奋 ， 不 光 是 因为 它们 所 实施 的 密码 学 原理 非常 高 妙 ， 
也 因为 它们 承诺 可 以 达到 的 匿名 性 非常 强大 有 效 。 到 目前 为 止 ， 所 有 我 
们 看 到 过 的 匿名 加 强 技术 ， 都 是 在 原来 的 核心 技术 协议 之 上 加 载 匿名 化 
处 理 ， 零 币 和 和 零 钞 则 是 在 协议 层 就 融合 了 匿名 化 处 理 。 我 们 将 在 这 里 以 
比较 大 的 轮廓 阐述 一 下 这 个 协议 ， 并 对 某 些 细节 进行 了 必要 的 简化 ， 但 
读者 可 以 在 本 章 结尾 的 延伸 阅读 部 分 找到 原始 论文 作为 参考 。 


兼容 性 (compatibility) 。 零 币 和 零 钞 为 保证 很 强 的 匿名 性 ， 是 有 
代价 的 : 不 同 于 中 心 化 的 混 币 服务 和 合 币 交易 ， 这 些 协 议和 现在 的 比特 
币 不 兼容 。 通 过 软 分 又 (soft fork) 三 比特 币 协议 的 方式 去 实施 零 币 在 
技术 上 是 可 行 的 ， 但 实际 操作 的 难度 会 对 此 造成 很 大 的 障碍 。 零 钞 甚 至 
不 能 通过 软 分 又 比特 币 协议 的 方式 去 实现 ， 而 只 能 以 一 种 另类 币 
Galtcoin) 的 方式 存在 。 


加 密 学 保证 (cryptographic guarantees) 。 零 币 和 零 钞 在 协议 层 已 经 
融入 了 混 币 功能 ， 其 匿名 属性 来 自 加 和 密 学 的 保证 ， 从 性 质 上 说 ， 这 些 保 
证 比 我 们 之 前 讨论 的 其 他 混 币 技术 更 好 。 在 隐私 保护 方面 ， 你 不 需要 信 
赖 任 何人 ， 比 如 ， 混 币 服 务 提 供 商 、 混 币 节 点 ， 或 其 他 任何 形式 的 中 
介 ， 甚 至 是 矿工 和 共识 机 制 协议 。 和 大 多 数 密码 学 保证 一 样 ， 这 种 匿名 
性 的 保证 仅仅 依赖 于 攻击 者 的 计算 能 力 上 限 。 


零 币 


为 了 解释 零 币 ， 我 们 首先 要 介绍 一 下 基础 币 〈Basecoin ) 的 概念 ， 
基础 币 是 一 种 类 似 于 比特 币 的 另类 币 ， 而 零 币 是 这 种 数字 货币 的 一 种 延 
伸 ， 其 所 提供 的 匿名 性 的 核心 特点 在 于 ， 你 可 以 将 基础 币 和 有 零 币 进行 来 
回转 换 ， 并 且 当 你 这 么 做 的 时 候 ， 束 打破 了 旧 的 基础 币 和 新 的 基础 币 之 
间 的 关联 。 在 系统 里 ， 基 础 币 是 你 需要 进行 交易 的 货币 ， 零 币 只 是 提供 
了 一 种 交易 基础 币 的 机 制 ， 这 种 机 制 可 以 确保 新 币 和 旧 币 之 间 坚 无 关 
He 


你 可 以 把 你 所 拥有 的 每 一 个 零 币 当 作 一 个 令 牌 ， 用 来 证 明 你 拥有 这 
么 一 个 零 币 并 且 使 其 不 能 再 被 消费 。 这 种 证 明 机 制 并 不 会 显示 你 所 拥有 
的 是 哪 一 个 零 币 ， 而 仅仅 是 证 明 你 确实 拥有 一 个 零 币 ， 稍 后 你 可 以 将 这 
个 证 明 给 矿工 看 ， 以 赎 回 这 个 证 明 并 取得 一 个 新 的 基础 币 。 用 一 个 比喻 
来 说， 就 好 比 你 去 赌场 用 现金 换 了 一 些 扑 元 筹码 ， 这 些 筹码 就 是 一 种 证 
明 ， 证 明 你 存 了 多 少 现金 ， 等 你 离开 赌场 时 ， 就 可 以 拿 着 这 些 证 明 去 换 
相同 数量 的 但 并 不 一 样 的 现金 。 当 然 ， 不 像 扑 元 筹码 ， 除 了 你 可 以 稍 后 
用 来 赎 回 一 个 基础 币 ， 你 并 不 能 拿 零 币 做 任何 事情 。 


为 了 在 加 密 数 字 货 币 中 让 这 样 的 机 制 正 芝 运 转 ， 我 们 要 用 密码 学 的 
方式 来 执行 这 些 证 明 ， 我 们 需要 确保 每 一 个 证 明 只 能 赎 回 一 个 基础 币 ， 
售 则 你 就 可 以 通过 把 一 个 基础 币 转换 成 一 个 零 币 ， 然 后 多 次 赎 回 获取 更 
多 的 免费 基础 币 。 


去 知识 验证 


我 们 使 用 的 核心 加 密 学 工具 是 零 知识 验证 ， 这 种 方式 可 以 证 明 一 个 
声明 (数学 上 的 ) 是 正确 的 ， 而 不 需要 展示 可 推导 该 声明 正确 性 的 任何 
其 他 信息 。 例 如 ， 假 设 你 已 经 做 了 很 多 工作 解决 了 一 个 哈 希 谜 题 ， 并 且 
你 想 要 向 其 他 人 证 明 你 做 到 了 。 换 而 言 之 ， 你 想 要 证 明 “ 我 做 到 了 ”这 个 
声明 。 


I know x such that HCxl 《other known inputs) )< (target) 
当然 ， 你 可 以 展示 上 述 公 式 里 的 x 值 来 证 明 你 做 到 了 ， 但 是 零 知识 


验证 可 以 让 你 向 别人 证 明 你 做 到 了 这 一 点 ， 同 时 不 需要 透露 x 的 值 ， 即 
便 在 看 过 你 的 证 明之 后 。 


你 也 可 以 证 明 一 个 如 “我 知道 一 个 x 值 ， 而 公式 H 〈x) 的 结果 属于 下 
面 这 一 个 集合 {...}” 这 样 的 声明 。 该 证 明 既 没有 展示 x 值 是 什么 ， 也 没有 
证 明 集 合 里 面 到 底 哪 一 个 元 素 等 于 HH (x)。 人 至 关 重 要 的 是 ， 零 币 就 是 利 
用 零 知 识 验 证 来 实现 其 功能 的 。 事 实 上 ， 和 零 币 中 被 这 种 方式 证 明 的 声 
明 ， 与 后 面 要 提 到 的 例子 非常 相似 。 本 书 中 ， 我 们 把 零 知 识 验证 当成 一 
个 黑匣子 ， 只 说 明了 零 知 识 验证 可 以 实现 的 属性 以 及 在 这 个 协议 中 的 哪 
个 部 分 是 必需 的 ， 我 们 并 没有 深 完 如 何 实现 这 一 功能 的 技术 细节 。 零 知 
识 验证 是 现代 密码 学 的 一 个 基石 ， 是 很 多 相关 技术 协议 的 基础 。 再 一 次 
强调 ， 我 们 建议 有 兴趣 的 读者 可 以 参考 延伸 阅读 中 提 到 的 文献 ， 去 了 解 
更 多 更 加 详细 的 内 容 。 


铸造 零 币 


零 币 通过 铸币 过 程 而 产生 ， 而 且 任 何人 都 可 以 铸造 一 个 标准 面值 的 
零 币 。 为 简便 起 见 ， 我 们 认为 零 币 只 有 一 种 面值 ， 每 一 个 零 币 价值 一 个 
基础 币 。 虽 然 任 何人 都 可 以 狼 造 一 个 零 币 ， 但 是 产生 的 零 币 并 不 自动 具 
备 任何 价值 一 一 你 不 可 能 获得 免费 的 钱 。 只 有 把 零 币 放 到 区 块 链 网 络 
上 ， 并 且 通 过 消耗 一 个 基础 币 的 方式 ， 它 才能 具备 价值 。 


为 了 铸造 一 个 零 币 ， 你 需要 使 用 加 密 学 承诺。 回顾 一 下 我 们 在 第 1 
章 讲 过 的 内 容 ， 承 诺 方案 类 似 于 将 一 个 值 放 入 一 个 信封 ， 并 将 信封 置 于 
所 有 人 的 视野 中 〈( 见 图 6.11) 。 


币 ， 
的 。 


图 6. 11 一 个 序列 号 的 承诺 


: 密码 学 承诺 好 比 把 一 个 序列 号 封装 到 一 个 信封 里 。 


铸造 零 币 的 过 程 分 为 三 步 : 
1. 生 成 一 个 序列 号 S 和 一 个 随机 密 钥 r。 
2. 计 算 一 个 函数 Commit (S，r) ， 这 是 序列 号 S 的 承诺 。 


3. 如 图 6.12 所 示 ， 在 区 块 链 上 发 布 该 承诺 ， 这 需要 消耗 一 个 基础 
此 币 不 可 再 被 花费 ， 进 而 创建 了 一 个 零 币 。 此 时 并 S 和 7 仍然 是 保密 


图 6. 12 在 区 块 链 网 络 上 设置 一 个 零 币 

注 : 为 了 将 一 个 零 币 置 于 区 块 甸 中， 需要 创建 一 个 铸币 交易 ， 其 输出 地 址 是 零 币 序 
列 号 的 一 个 密码 承诺 ， 而 铸币 交易 的 输入 则 是 一 个 基础 币 ， 这 个 基础 币 也 会 在 创建 
零 币 的 过 程 被 消耗 掉 ， 整 个 交易 过 程 并 不 需要 公示 这 个 序列 号 。 

为 了 消耗 一 个 零 币 并 赎 回 新 的 基础 币 ， 你 需要 证 明 你 之 前 已 经 铸造 
了 一 个 零 币 ， 你 可 以 通过 公开 之 前 的 承诺 也 就 是 说 公示 S 和 r 的 值 来 证 明 
这 一 点 ， 但 是 这 样 显然 就 建立 了 一 个 你 的 旧 的 基础 币 和 新 的 基础 币 之 间 
的 关联 ， 那 么 我 们 怎样 才能 打破 这 个 关联 呢 ? 这 个 时 候 就 用 到 零 知 识 验 
证 了 ， 在 任何 时 间 节 点 ， 区 块 链 网 络 上 都 有 很 多 的 承诺 对 象 一 一 我 们 将 
其 命名 为 c1， C7， 。。。? Cn。 


以 下 是 消耗 一 个 具有 序列 号 $ 的 零 币 以 赎 回 一 个 新 基础 币 的 步 又: 


图 ”创建 一 个 特殊 的 “花费 ”交易 ， 这 个 交易 包含 序列 号 S 和 一 
个 具备 零 知 识 验 证 的 声明 : “我 知道 在 承诺 对 象 《S，r) 中 的 r 在 以 
于 的 和 全 里 5 [oq G9 wn Gon)” 8 

@ 矿工 将 会 验证 你 的 零 知 识 验证 ， 这 将 给 予 你 打开 区 块 链 中 一 
个 零 币 承诺 的 能 力 ， 而 你 并 不 需要 真 的 打开 它 。 

图 矿工 也 会 查询 序列 号 $5， 确认 这 个 零 币 没有 在 之 前 的 花费 交 
易 中 被 使 用 过 (为 了 防止 双重 消费 ) 。 


图 你 的 花费 交易 的 输出 将 形成 一 个 新 的 零 币 ， 你 应 使 用 你 所 拥 
有 的 一 个 地 址 来 作为 输出 地 址 。 


序列 : 《5》 


支付 给 : 《pk》 
图 6.1 费 一 个 零 币 


3 花 
注 : 花费 交易 展示 了 之 前 铸币 交易 中 所 锁定 的 序列 号 S， 以 及 S 和 之 前 的 铸币 交易 的 
关联 性 的 零 知 识 验证 。 不 像 一 个 铸币 交易 〈 或 者 一 个 普通 的 比特 币 / 基础 币 的 交 


易 ) ， 这 个 花费 交易 没有 输入 地 址 ， 因 此 也 没有 签名 ， 只 有 一 个 零 知 识 验证 的 证 明 
来 确立 它 的 有 效 性 。 

一 旦 你 花费 了 一 个 零 币 ， 其 序列 号 就 变 得 公开 了 ， 那 么 你 就 不 能 
次 赎 回 同一 个 序列 号 所 对 应 的 零 币 ， 由 于 每 一 个 零 币 都 仅 有 唯一 的 序列 
号 ， 正 如 我 们 从 安全 角度 所 要 求 的 那样 ， 每 一 个 零 币 只 能 被 化 费 一 次 。 


匿名 性 。 在 整个 过 程 中 ， 我 们 可 以 发 现 r 一 直 是 保持 隐匿 状态 ， 不 
管 是 铸币 交易 还 是 花费 交易 部 没有 展示 过 r， 这 意味 着 没有 人 知道 哪 一 
个 序列 号 对 应 哪 一 个 具体 的 零 币 ， 这 就 是 零 币 匿名 性 背后 的 核心 概念 。 
在 区 块 链 上 ， 生 成 序列 号 $ 的 铸币 交易 和 稍 后 公示 S 以 赎 回 一 个 零 币 的 花 
费 交 易 之 间 ， 并 没有 关联 性 。 这 种 听 起 来 像 魔 术 般 的 特性 是 无 法 使 用 实 
体 的 封装 系统 来 实现 的 ， 但 在 密码 学 中 是 可 以 做 到 的 。 好 比 我 们 在 果 上 
放 了 一 些 装 有 不 同 序列 号 的 密封 过 的 信封 ， 你 可 以 证 明 东 一 个 序列 号 是 
这 些 信封 里 面 的 一 个 ， 而 不 需要 展示 古 哪 一 个 ， 也 不 需要 打开 任何 一 个 


信封 。 


效率 。 回 忆 一 下 我 们 在 花费 交易 中 证 明 过 的 一 个 声明 
“我 知道 在 承诺 对 象 《S，r) 中 的 r 在 以 下 的 集合 里 : ={c1，c2， 


Cn} 


其 中 ，n 人 代表 的 就 是 曾经 被 创建 过 的 零 币 的 数量 。 听 起 来 这 种 零 知 
识 验证 的 实施 会 变 得 非常 没有 效率 ， 因 为 证 明 中 包含 的 集合 大 小 会 随 寿 
n 的 增加 而 线性 增 大 。 神 奇 的 是 ， 零 币 可 以 让 这 种 验证 的 复杂 度 仅 仅 是 n 
的 对 数 。 我 们 需要 注意 到 这 一 点 ， 即 使 需要 被 验证 的 声明 的 长 度 是 线性 
的 ， 声 明 本 里 并 不 需要 被 包括 在 证 明 里 ， 而 是 隐 含 的。 由 于 矿工 们 知道 
区 块 链 上 所 有 和 零 币 的 集合 ， 声 明 就 可 以 被 矿工 们 目 行 推断 出 来 。 这 样 证 
明 本 号 就 可 以 非常 短 。 尽 管 如 此 ， 跟 比特 币 相 比 较 ， 零 币 还 是 增加 了 相 
当 大 的 额外 开销 ， 大 概 50KB。 


建立 信任 


用 于 搭建 零 币 的 工具 之 一 (RSA 累 加 器 ) 需要 进行 一 次 性 信任 设 
置 。 特 别 的 是 ， 一 个 被 信任 方 需要 选择 两 个 大 的 质数 p 和 q， 并 且 公 示 
N=pxq 作 为 所 有 人 在 系统 的 整个 生命 周期 中 使 用 的 参数 。 我 们 可 以 把 N 
看 作 一 个 公 铀 ， 只 不 过 它 被 用 于 所 有 的 零 币 而 不 是 仅仅 对 应 于 某 一 个 
体 。 只 要 这 个 被 信任 方 ， 销 毁 任何 关于 p 和 gq 的 记录 ， 系 统 就 可 以 被 认为 
是 安全 的 。 需 要 强调 的 是 ， 这 一 做 法 是 基于 对 两 个 大 质数 的 积 进 行 因子 
分 解 是 不 可 行 的 这 一 假设 的 普 届 认可 。 但 是 ， 如 果 任 何人 知道 了 秘密 的 
因数 p 和 q (也 被 称 为 “陷阱 门 ””， 他 们 就 可 以 在 不 被 监测 到 的 情形 下 ， 
为 自己 创建 新 的 零 币 。 所 以 ， 这 些 秘密 的 输入 只 能 被 使 用 一 次 ， 在 用 于 

产生 相对 应 的 公 钥 后 就 被 销毁 


这 里 有 一 个 有 趣 的 社会 学 问题 ， 一 个 个 体 怎 么 选择 这 个 N 并 能 够 让 
每 个 人 相信 ， 在 设置 时 使 用 的 相对 应 的 质数 p 和 q， 已 经 被 安全 地 销毁 
了 ， 这 一 过 程 还 不 是 很 清楚 。 如 何 实现 这 个 目标 ， 会 有 很 多 不 同 的 方 
案 ， 其 中 就 包括 “ 阀 值 加 密 * 技 术 ， 该 技术 可 使 用 多 个 代理 协同 计算 出 
N， 而 只 要 其 中 一 个 代理 将 自己 的 秘密 输入 销毁 ， 这 个 系统 就 可 以 被 认 
为 是 安全 的 。 


我 们 还 可 以 使 用 其 他 略 有 不 同 的 加 密 构 造 来 避免 设置 这 样 一 个 被 信 
任 方 。 特 别 是 ， 有 实践 表明 ， 随 机 生成 一 个 大 数 就 具有 很 高 的 安全 性 ， 
因为 这 样 一 个 数字 很 有 可 能 不 能 被 完全 分 解 。 但 遗憾 的 是 ， 这 样 做 会 带 
来 很 大 的 效率 冲击 ， 因 此 这 种 方法 并 不 实用 。 


专 钞 
零 钞 是 一 种 不 同 的 匿名 性 加 密 数字 货币 ， 它 建立 在 零 币 的 概念 之 
上 ， 但 将 加 密 技术 提高 到 了 更 高 的 层次 。 零 钞 使 用 的 是 一 种 被 称 为 zk- 


SNARKS 三 的 密码 学 技术 ， 这 种 技术 可 以 使 得 零 知 识 验证 更 加 简洁 、 更 
加 有 效率 ， 要 点 就 在 于 ， 系 统 的 整体 效率 可 以 达到 某 一 定 程 度 ， 使 得 整 
个 网 络 可 以 不 需要 依赖 一 种 基础 币 而 运行 ， 所 有 的 交易 都 可 以 以 零 知 识 
验证 的 方式 进行 。 如 我 们 所 看 到 的 ， 零 币 也 支持 那些 本 不 需要 无 关联 性 
的 普通 交易 ， 只 不 过 在 其 上 做 了 计算 量 昂贵 的 混 币 交易 进行 补充 。 这 种 
混 币 交 易 由 固定 面值 的 数字 币 组 成 ， 交 易 价 值 的 拆 分 与 合并 只 能 在 基础 
币 系 统 里 实现 。 在 零 钞 系统 中 ， 这 种 差异 就 不 存在 了 ， 交 易 金额 的 大 小 
被 封装 在 一 个 承诺 中 ， 在 区 块 链 上 不 再 可 见 ， 密 码 学 证 据 确保 了 拆 分 与 
合并 的 正确 性 ， 用 户 并 不 能 凭空 创造 出 零 钞 。 


账本 公开 记录 的 唯一 内 容 就 是 交易 的 存在 性 ， 以 及 矿工 们 用 来 验证 
系统 正常 运行 所 需要 的 关键 属性 的 证 明 。 区 块 链 网 络 上 既 不 显示 交易 地 
址 ， 也 不 显示 交易 价值 。 唯 一 需要 知道 交易 金额 的 用 户 ， 是 本 次 交易 的 
发 送 方 和 接收 方 ， 矿 工 们 是 不 需要 知道 的 。 当 然 ， 如 果 其 中 存在 交易 费 
用 ， 矿 工 们 则 需要 知道 的 仪 仪 是 手续 费 ， 这 点 也 不 会 影响 匿名 保护 。 


束 匿 名 性 和 隐私 性 来 说 ， 零 钞 这 种 完全 不 可 退 踩 的 交易 系统 目 成 门 
派 。 因 为 公开 账本 并 不 包含 交易 金额 ， 零 钞 对 针对 混 币 服务 的 劳 路 攻击 
是 免疫 的 。 


建立 零 钞 系统 


按照 技术 属性 来 说 ， 零 钞 看 起 来 好 得 有 点 不 真实 。 其 实 它 确实 也 有 
目 己 的 命 门 。 就 像 零 币 ， 零 钞 也 需要 一 个 “公开 参数 "来 设置 这 个 零 知 识 
验证 系统 。 但 是 不 同 于 只 需要 一 个 几 百 个 字 节 长 度 的 数字 N 的 零 币 ， 零 
钞 需 要 的 是 一 个 很 大 的 公开 参数 集 一 一 其 大 小 超过 1G 字 节 。 要 再 次 强 
调 的 是 ， 为 了 生成 这 些 公开 参数 ， 零 钞 需 要 一 组 随机 并 且 秘 密 的 输入 。 
如 果 任 何人 知道 了 这 些 秘 密 输 入 ， 束 会 产生 无 法 监测 的 双重 消费 问题 ， 
从 而 危及 整个 系统 的 安全 性 。 


在 这 里 ， 我 们 不 会 过 多 地 深入 探讨 设置 一 个 zk-SNARK 系 统 所 面临 
的 挑战 ， 这 个 问题 也 是 一 个 比较 活跃 的 研究 方向 ， 但 是 截至 2015 年 ， 我 
们 并 不 知道 如 何在 实际 操作 中 以 足够 稳妥 的 方式 建立 这 个 系统 。 迄 今 为 
止 ，zk-SNARK 还 没有 被 实际 运用 。 


综合 比较 ， 融 会 趴 通 


现在 ， 让 我 们 从 匿名 性 以 及 实际 的 可 操作 性 两 个 方面 ， 来 比较 以 下 
我 们 所 探讨 的 这 些 方案 ， 见 表 6.1。 
表 6.1 本 章 所 讨论 的 匿名 技术 的 比较 


系统 类 型 对 匿名 性 的 攻击 可 部 署 性 
比特 币 化 名 ”交易 图 谱 分 析 默认 系统 
o 交易 图 谱 分 析 ， 恶 意 的 混 币 服 “，。。， 
和 提供 商 , 恶意 的 混 币 对 于 方 。 四 记 用 
多 重 混 币 / 汶 路 攻击 ， 焉 意 的 混 币 服务 提 
合 币 混 和 站。 供 商 , 恶意 的 混 币 对 手 广 和 
堆 币 加密 混 币 。 ” 旁 路 攻击 (存在 可 能 性 ) 另类 币 , 需 建立 信任 广 
零 钞 。 不 可 被 跟踪 未 知 另类 币 , 需 建立 信任 广 


我 们 是 从 比特 币 ， 这 个 已 经 成 功 部 车 了 的 “默认 ”系统 开始 的 。 但 比 
特 币 只 是 化 名 系统 ， 我 们 看 到 ， 强 大 的 交易 图 谐 分 析 是 可 能 攻击 比特 币 
的 匿名 性 的 一 种 可 行 办 法 。 我 们 也 探讨 了 聚集 大 量 地 址 簇 方式 ， 以 及 如 
何 关 联 真 实 世 界 的 喘 份 到 这 些 地 址 簇 的 方法 。 


匿名 化 技术 的 下 一 等 级 ， 是 用 人 工 的 方式 实现 一 个 单一 混 币 交易 ， 
或 者 通过 人 工 找 交 易 对 手 的 方式 来 实现 合 币 交 易 ， 这 会 使 输入 地 址 和 输 
出 地 址 之 间 的 关联 变 得 模糊 ， 但 同时 也 会 在 交易 图 谱 中 留 下 了 太 多 的 线 
索 。 除 此 之 外 ， 混 币 服务 提供 商 和 参与 节点 也 可 能 是 恶意 的 ， 或 者 因为 


被 黑客 攻击 的 ， 或 者 被 胁迫 公布 记录 的 。 即 使 从 匿名 性 来 说 离 完美 还 很 
胸 远 ， 但 混 币 服务 在 现实 中 存在 ， 并 且 是 现今 一 个 可 用 的 选项 。 


我 们 讨论 的 第 三 个 等 级 的 匿名 性 ， 是 混 币 服务 链 或 者 合 币 交 易 。 这 
种 匿名 性 上 的 改进 ， 来 自 更 少 的 对 于 混 币 服务 提供 丙 或 者 节点 组 的 依 
赖 。 诺 如 标准 化 的 交易 区 块 大 小 和 客户 端的 目 动 化 等 特性 ， 可 以 最 小 化 
言 轧 泄露 的 可 能 性 ， 但 是 还 是 有 一 些 劳 路 风险 可 能 会 存在 。 同 时 ， 也 还 
是 存在 一 些 攻 击 者 可 能 控制 或 者 勾结 多 个 混 币 服务 商 与 参与 节点 而 带 来 
的 风险 。 实 现 带 有 温 币 服务 链 功 能 的 钱包 和 服务 在 技术 上 是 可 行 的 并 且 
应 该 会 补 用 户 所 接受 ， 但 是 据 我 们 所 知 ， 一 个 安全 的 混 币 链 解 决 方 末 还 
不 存在 。 


接 下 来 ， 我 们 探讨 了 把 加 密 技 术 直 接应 用 到 协议 层 并 提供 匿名 化 的 
数学 保证 的 零 币 。 我 们 认为 零 币 的 和 旁 路 攻击 风险 还 是 存在 的 ， 但 是 明显 
己 经 优 于 其 他 的 混 币 解雇 方案。 不过， 和 零 币 需要 作为 相对 于 比特 币 的 一 
种 另类 币 的 方式 发 行 。 


最 后 ， 我 们 探讨 了 零 钞 。 通 过 效率 上 的 改进 ， 零 钞 可 以 作为 一 个 完 
全 无 法 退 踊 一 一 不 仪 仅 是 匿名 化 一 一 的 加 密 数 字 货 币 。 然 而 ， 就 像 零 币 
一 样 ， 零 钞 和 比特 币 并 不 羔 容 ， 更 粮 料 的 是 ， 零 钞 需 要 一 个 非常 复杂 的 
建 并 流程， 数字 币 领 域 仍然 在 研究 如 何 用 最 好 的 方式 来 实现 它 。 


在 本 章 中 ， 我 们 讨论 了 很 多 技术 。 现 在 让 我 们 退 一 步 看 ， 比 特 币 的 
匿名 性 (或 者 匿名 潜力 ) 是 强大 的 ， 当 和 其 他 一 些 技术 配合 的 时 候 会 更 
加 强大 ， 尤 其 是 在 匿名 通信 方面 。 如 我 们 在 第 7 章 中 将 要 讨论 的 ， 这 是 
一 些 匿 名 在 线 市 场所 使 用 的 强 有 力 的 技术 组 合 方式 。 


尽管 匿名 化 技术 是 强大 的 ， 但 同时 也 是 脆弱 的 。 一 个 错误 就 可 能 造 
成 一 个 我 们 不 希望 看 到 的 ， 但 叉 是 不 可 逆 的 关联 。 匿 名 化 有 一 些 显 而 易 
见 的 有 害 应 用 ， 但 同时 也 存在 很 多 有 益 的 应 用 ， 所 以 是 值得 保护 的 。 虽 
然 道德 层面 上 的 区 分 很 重要 ， 我 们 还 是 无 法 在 技术 层面 清楚 地 辨识 。 匿 


名 技术 看 起 来 具有 深入 的 和 固有 的 道德 模糊 性 ， 作 为 人 类 社会 的 一 员 ， 
我 们 必须 学 会 怎么 面 对 这 个 现实 。 


和 关于 比特 币 的 道德 争论 一 样 ， 比 特 币 的 匿名 性 也 是 一 个 很 活跃 的 
技术 创新 领域 。 我 们 仍然 不 知道 比特 币 的 哪 一 种 匿名 系统 ， 如 果 存 在 的 


话 ， 将 会 脱颖而出 成 为 主流 。 这 也 将 是 每 一 个 人 的 机 会 一 一 个 管 你 是 一 
个 开发 者 、 一 个 政策 制定 者 ， 还 是 一 个 普通 用 户 一 一 每 个 人 都 可 以 参与 


其 中 并 做 出 页 献 ， 希 望 你 在 本 革 中 里 所 学 到 的 内 容 ， 可 以 为 你 提供 一 些 
正确 的 背景 知识 去 采取 行动 。 


延伸 阅读 


与 前 面 几 章 中 讨论 的 主题 相 比 ， 匿 名 技术 在 更 快 地 持续 发 展 中 ， 并 
且 是 加 密 数 字 货 币 研究 领域 中 更 活跃 的 一 个 课题 。 想 要 跟 上 这 个 领域 中 
最 新 的 进展 ， 可 以 阅读 以 下 列举 的 论文 ， 以 及 引用 其 他 论文 。 


天 于 交易 图 谐 分 析 的 《一 艇 比特 币 》: 


Meiklejohn,Sarah, Marjori Pomarole,Grant Jordan, Kirill 
Levchenko,Damon McCoy,Geoffrey M.Voelker,and Stefan Savage.“A 
Fistful of Bitcoins:Characterizing Payments among Men with no Names.”In 
Proceedings of the 2013 conference on Internet measurement, New 
York:ACM.,2013. 


关于 我 们 讨论 的 温 币 技 术 和 有 效 混 币 原 则 的 来 源 的 研究 : 


Bonneau,Joseph, Arvind Narayanan, Andrew Miller, Jeremy 
Clark,Joshua A.Kroll,and Edward W. Felten.“Mixcoin:Anonymity for 
Bitcoin with Accountable Mixes.”In Financial Cryptography and Data 
Security. Berlin:Springer,2014. 


混 币 服务 实践 研究 ， 其 中 很 多 种 并 没有 很 好 的 声誉 : 


Moéser Malte,Rainer Bihme, and Dominic Breuker.“An Inquiry into 
Money Laundering Tools in the Bitcoin Ecosystem.” In 2013 eCrime 
Researchers Summit .Washington, DC:IEEE,2013. 


比特 币 论 坛 里 ， 比 特 币 核心 开发 者 格雷 -麦克 斯 书 (Greg Maxwell) 
发 布 的 有 关 合 币 的 内 容 : 


Maxwell, Gregory.“CoinJoin: Bitcoin Privacy for the Real World.” 
Bitcoin Forum, 2013. 下 载 地 址 https://bitcointalk.org/index.php? 
topic=279249.0. 


来 自 约翰 : 霍 普 金 斯 大 学 (Johns Hopkins University) 的 密码 学 者 开 
发 了 零 币 ， 请 记 住 零 币 和 零 钞 是 这 本 书 里 我 们 讨论 过 的 最 复杂 的 加 密 技 
术 : 


Miers, [an,Christina Garman,Matthew Green,and Aviel 
D.Rubin.“Zerocoin:Anonymous Distributed E-Cash from Bitcoin.”In 
Proceedings of the 2013 IEEE Symposium on Security and Privacy 
.Washington, DC:IEEE,2013. 


零 币 的 作者 和 其 他 一 些 开 发 了 SNARK 技 术 的 研究 者 共同 开发 了 零 


Ben Sasson,Eli,Alessandro Chiesa,Christina Garman,Matthew Green,Ian 
Miers,Eran Tromer,and Madars Virza.“Zerocash:Decentralized Anonymous 
Payments from Bitcoin.”In Proceedings of the 2013 IEEE Symposium on 
Security and Privacy .Washington, DC:IEEE,2013. 


1. 所 谓 软 分 又 在 比特 币 中 的 含义 是 对 协议 进行 向 前 兼容 的 修改 。 修 改 后 的 新 版 本 会 造 
成 原 有 的 部 分 区 块 或 交易 无 效 ， 但 是 按 更 新 后 的 协议 产生 的 新 交易 和 区 块 在 旧 协 议 下 是 


有 效 的 。 换 句 话说， 新 协议 是 原 协议 的 一 个 子 集 。 一 一 译 者 注 

2 Zk-SNARK 的 全 称 是 zero knowledge Succinct Non-interactive ARgument of Knowledge， 
是 近年 兴起 的 一 种 密码 学 方法 。Snark 在 英文 中 本 就 有 鬼魅 的 含义 ， 用 到 这 个 技术 上 倒 也 

有 几 分 神似 。 一 -一 译 者 注 


第 7 草 
人 社区、 政治 和 监管 


在 本 间 中 ， 我 们 将 研究 比特 币 世 界 和 数字 加 密 货 币 技术 是 如 何 影响 
世界 的 ， 并 探讨 比特 币 社区 的 内 部 政治 以 及 比特 币 是 如 何 与 传统 政治 ， 
即 执法 和 监管 问题 互相 影响 的 。 


7.1 关于 比特 币 的 共识 


首先 ， 让 我 们 看 一 下 在 比特 币 问题 上 已 达成 的 共识 ， 它 是 比特 币 运 
行 的 基础 。 为 使 比特 币 顺 畅 运行 ， 人 们 必须 束 以 下 三 个 问题 达成 共识 : 


1. 关 于 规则 的 共识 。 这 里 所 说 的 规则 是 指 包括 确保 交易 或 区 块 有 效 
的 机 制 ， 及 比特 币 运行 时 涉及 的 核心 协议 和 数据 格式 等 内 容 。 人 们 需要 
就 这 些 规则 达成 共识 ， 这 样 ， 比 特 币 系统 中 的 所 有 参与 者 才能 就 及 生 的 
情况 相互 沟通 并 达成 协议 。 


2. 关 于 历史 记录 的 共识 。 也 惑 是 说 ， 参 与 者 必须 对 区 块 链 的 内 容 ， 
包括 哪些 是 属于 区 块 链 ， 哪 些 是 不 属于 区 块 链 的 内 容 达 成 共识 ， 这 样 ， 
人 们 才能 就 如 何 确认 已 发 生 的 交易 达成 共识 。 在 此 基础 上 ， 人 们 就 可 以 
对 比特 币 、 未 动用 产 出 的 数额 及 拥有 人 达成 共识 。 这 一 共识 源 目 区 块 链 
的 创建 过 程 和 使 各 个 节点 对 区 块 链 内 容 的 理解 达成 一 致 的 过 程 ， 我 们 已 
经 在 第 1 瘟 和 第 2 章 中 对 这 些 过 程 进行 了 描述 。 这 是 比特 币 中 最 利用 且 技 
术 上 最 复杂 的 一 种 共识 。 


3. 天 于 比特 币 价值 的 共识 。 第 三 种 共识 要 求人 们 普遍 认为 比特 币 是 
有 价值 的 ， 比 如 ， 如 果 有 人 今天 给 了 你 一 个 比特 币 ， 你 明天 惑 能 够 将 它 
多 现 或 用 它 换取 到 有 价值 的 东西 。 任 何 一 种 货币 ， 不 管 是 像 美元 这 样 的 
法 定货 币 ， 还 是 像 比特 币 一 样 的 数字 加 密 货 币 ， 赖 以 存在 的 基础 都 是 其 
具有 价值 的 共识 。 也 惑 是 说 ， 人 们 普 过 接受 可 以 用 和 它 进 行 交 易 ， 在 现在 
或 未 来 可 以 用 它 换取 其 他 有 价值 的 东西 。 


对 于 法 定货 币 ， 第 三 种 共识 是 唯一 的 共识 。“ 货 币 有 价值 ”这 一 共识 
不 是 由 规则 决定 的 ， 法 律 规 定 了 它 是 不 是 钞票 。 历 史记 录 并 不 重要 ,但 


征 状态 很 重要 一 一 谁 拥有 什么 。 状 态 由 物质 占有 【如 持 有 现金 ) 或 专业 
记录 《如 银行 ) 来 决定 。 然 而 ， 对 于 数字 加 密 货 币 ， 人 们 还 需要 对 规则 
和 历史 记录 达成 共识 。 


对 于 比特 币 ， 与 其 他 共识 不 同 的 是 ， 这 第 三 种 共识 具有 一 定 的 循环 
性 。 即 ， 我 相信 我 今天 收 到 的 比特 币 是 有 价值 的 ， 这 取决 于 我 希望 明天 
收 到 这 个 比特 币 的 人 同样 相信 它 的 价值 。 因 此 ， 对 价值 共识 的 基础 在 于 
对 价值 延续 性 的 共识 。 这 有 时 被 称 为 “仙子 效应 ”(Tinkerbell effect) ， 
这 个 名 字 来 源 于 童话 故事 《彼得 潘 》， 仙 子 之 所 以 存在 ， 是 因为 你 相信 
她 存在 。 


不 论 是 否 循环 ， 对 于 价值 的 共识 都 是 存在 的 ， 这 对 比特 币 系统 的 运 
行 至 关 重 要 。 而 且 ， 还 有 很 重要 的 一 点 是 ， 这 三 种 共识 相互 关联 ， 如 图 
7.1 所 示 。 


关于 规则 的 共识 


关于 比特 币 价值 的 共识 
关于 历史 记录 的 共识 


图 7.1 关于 比特 币 的 三 种 共识 之 间 的 关系 


首先 ， 对 规则 与 对 历史 记录 的 共识 相互 依赖 。 如 果 不 知道 哪些 区 块 
是 有 效 的 ， 也 就 无 法 对 区 块 链 达成 共识 。 如 末 不 能 对 区 块 链 中 有 哪些 区 
块 达成 共识 ， 也 就 无 法 判断 交易 是 否 有 效 ， 进 而 无 法 判断 有 没有 双重 文 
付 的 企图 。 

对 历史 记录 和 对 比特 币 价 值 的 共识 也 紧密 相关 。 对 历史 记录 的 共识 


意味 着 我 们 同意 谁 拥有 哪些 比特 币 ， 这 是 比特 币 具 有 价值 的 先决 条 件 
一 一 例如 我 拥有 一 个 比特 币 ， 如 果 不 能 通过 历史 记录 对 此 达成 共识 ， 我 


就 不 能 指望 将 来 某 一 天 我 会 把 这 个 比特 币 付 给 某 人 换取 其 他 东西 。 反 之 
亦 然 一 一 在 第 2 章 我 们 讨论 过 ， 对 比特 币 具 有 价值 的 共识 ， 激 励 着 矿工 
维护 区 块 链 的 安全 ， 这 又 促使 我 们 对 历史 记录 达成 共识 。 


比特 币 原始 设计 的 天 才 之 处 束 在 于 ， 它 意识 到 靠 上 自己 本 喘 很 难 达 成 
这 三 种 共识 的 任何 一 种 。 在 一 个 没有 里 份 概念 的 、 去 中 心 化 、 全 世界 范 
围 内 运行 的 系统 中 ， 要 达成 关于 规则 的 共识 是 不 可 能 的 。 


类 似 地 ， 对 历史 记录 的 共识 是 一 个 复杂 的 分 散 式 数据 结构 问题 ， 很 
难 靠 目 己 解决 。 此 外 ， 对 茶 种 数字 加 密 货 币 具 有 价值 的 共识 也 很 难 达 
成 。 但 比特 币 的 设计 以 及 运行 模式 表明 ， 尽 管 无 法 靠 系统 本 身 达成 这 三 
种 共识 中 的 任意 一 种 ， 不 过 可 以 通过 某 种 方式 将 这 三 种 共识 组 合 在 一 
起 ， 并 让 它们 以 一 种 相互 依存 的 方式 发 挥 作 用 。 因 此 ， 在 讨论 比特 币 社 
区 的 运作 模式 时 ， 我 们 必须 牢记 ， 比 特 币 系统 的 运行 取决 于 参与 者 的 共 
识 ， 而 且 这 种 共识 是 十 分 脆弱 的 ， 交 织 着 各 种 技术 和 社交 元 素 。 


7.2 比特 币 核心 钱包 软件 


比特 币 核心 钱包 (bitcoin core) 是 一 款 开 源 软 件 ， 是 对 比特 币 规则 
进行 讨论 和 争议 的 焦点 。 这 于 软件 由 极为 宽松 的 开源 (open source) 许 
可 证 一 一 MIT 许 可 证 认证 。 只 要 注 明 版 权 声 明和 许可 声明 ， 就 可 以 将 该 
软件 用 于 各 种 用 途 。 比 特 币 核心 钱包 是 目前 运用 最 为 广泛 的 一 于 比特 币 
软件 。 即 便 不 利用 它 进 行 软件 开发 ， 许 多 人 也 会 通过 研究 它 来 了 解 比特 
币 的 规则 。 在 构建 其 他 比特 币 软件 时 ， 人 们 会 借鉴 其 规则 定义 部 分 的 内 
容 ， 包 括 判定 交易 和 区 块 的 有 效 性 。 


比特 币 核心 钱包 实际 是 比特 币 的 规则 手册 。 通 过 研究 比特 币 核心 
钱包 及 其 相关 解释 ， 可 以 了 解 到 在 比特 币 系 统 中 真正 有 效 的 内 容 。 


比特 币 改进 方案 


任何 人 都 可 以 通过 “提交 请 求 ”(pull requests) 按钮 ， 帮 助 比特 币 核 
心 钱包 进行 技术 改进 ， 这 一 过 程 在 开源 软件 〈open-source software) 世 
界 极为 常见 。 寿 想 对 软件 进行 更 大 的 改动 ， 特 别 是 对 协议 进行 修改 ， 则 
可 以 通过 一 个 较为 正式 的 叫 作 比特 币 改进 方案 (Bitcoin Improvement 
Proposal， 简 称 BIP〉 的 流程 来 实现 。 因 此 ， 如 果 你 有 意 通 过 技术 改变 来 
改进 比特 币 ， 你 可 以 把 你 的 想法 写 下 来 ， 根 据 比 特 币 改进 方案 的 要 求 ， 
与 其 他 文件 一 起 公开 发 表 。 这 会 触发 比特 币 社 区 就 你 的 方案 进行 讨论 ， 
并 决定 下 一 步行 动 。 虽 然 任何 人 都 可 以 提交 正式 方案 ， 但 正如 所 有 开源 
项 目 (open-source project) 一 样 ， 这 存在 学 习 曲 线 。 


BIP 以 编号 序列 形式 友 布 ， 每 项 方案 有 一 名 拥护 者 ， 负 责 宣传 方 
采 、 协 调 讨论 活动 并 努力 促成 方案 在 比特 币 社区 向 前 顺利 开展 或 实施 。 


我 们 上 面 所 说 的 内 容 适 用 于 对 拉 术 更 改 的 方 采 。 事 实 上 ， 也 存在 一 
些 BIP， 或 者 只 是 为 了 提供 信息 ， 传 播 关 于 比特 币 的 知识 ;或 者 将 之 前 
仅 在 源 代码 中 明确 的 部 分 代码 进行 标准 化 。 而 其 他 一 些 BIP 侧 重 流程 ， 
讨论 比特 币 社区 如 何 决 策 事 项 。 


总 之 ， 除 了 包含 规则 手册 中 的 内 容 外 ，BDP 还 包含 方案 、 制 定 和 讨 
论 规则 变更 的 流程 。 


比特 币 核心 钱包 开发 人 员 


要 了 解 比特 币 核心 钱包 的 作用 ， 我 们 需要 了 解 比 特 币 核心 钱包 开发 
人 员 所 发 挥 的 作用 。 原 始 代 码 的 作者 是 中 本 聪 (Satoshi Nakamoto) ， 
我 们 在 7.4 节 还 会 介绍 。 现 在 ， 中 本 聪 本 人 己 经 不 再 活跃 ， 但 还 有 一 群 
开发 人 员 在 维护 着 软件 。 有 数 百 名 开发 者 在 为 这 个 项 目 写 代码 ， 但 只 有 
少数 几 个 人 拥有 对 核心 钱包 数据 库 的 “调配 ”(commit〉 权限 。 这 些 核心 
钱包 的 首 遍 开 发 人 员 持 续 维 护 该 软件 ， 并 决定 哪些 新 代码 可 以 加 入 软件 
新 版 本 中 。 


这 些 人 的 权力 有 多 大 ? 从 茶 种 意义 上 资 ， 他 们 的 权力 是 很 大 的 ， 因 
为 他 们 对 代码 做 出 的 规则 改变 终 将 呈现 在 比特 币 核心 钱包 中 ， 这 些 规则 
会 默认 被 避 守 。 这 些 人 写 下 比特 币 事 实 上 的 规则 手册 。 但 从 为 一 个 角度 
来 看 ， 他 们 根本 束 没 有 什么 权力 。 因 为 这 是 一 球 开 源 软 件 ， 任 何人 都 可 
以 复制 、 修 改 它 〈 随 时 创建 一 个 比特 币 分 又 ) 。 因 此 ， 如 采 首 席 开 及 人 
员 的 表现 不 被 社区 接受 ， 社 区 可 能 走 同 不 同 的 方 回 。 


可 以 这 么 想 ， 首 席 开 发 人 员 就 像 在 引领 游行 队伍 前 进 。 他 们 在 队伍 
的 最 前 面 ， 当 他 们 拟 弯 时， 队伍 一 般 会 跟着 他 们 扮 弯 。 但 是 如 果 他 们 试 


图 把 队伍 带 入 灾难 性 的 境地 ， 那 么 队伍 中 的 其 他 成 员 可 能 会 选择 不 同 的 
方向。 这 些 首 席 开 及 人 员 可 以 敦促 社区 ， 但 是 ， 如 果 他 们 试图 把 系统 帝 
入 不 被 社区 接受 的 搁 术 方 辐 ， 他 们 并 没有 正式 的 权力 ， 来 迫使 人 们 跟随 
他 们 。 


现在 来 思考 一 下 ， 作 为 系统 的 使 用 者 ， 如 果 你 不 喜欢 它 的 规则 或 系 
统 运行 的 方式 ， 能 够 做 些 什么 ， 并 与 集中 式 货币 《如 法 定货 币 ) 进行 比 
较 。 在 集中 式 货 币 系统 中 ， 如 果 有 弄 议 ， 你 有 权 退 出 ， 也 就 是 说 ， 你 可 
以 不 用 它 。 你 必须 想 办 法 把 持 有 的 货币 卖 出 ， 然 后 移居 到 使 用 为 一 种 人 
币 的 地 方 。 有 了 集中 式 货 币 ， 退 出 是 你 的 唯一 选择 。 


在 比特 币 系 统 ， 你 当然 也 有 权 退 出 ， 但 是 ， 因 为 它 作 为 开源 系统 

(open-source system) 运行 ， 你 就 有 了 对 规则 进行 分 义 的 权利 。 也 就 是 
说 ， 你 、 你 的 朋友 和 同事 可 以 选择 运行 一 套 不 同 的 规则 ， 而 且 ， 通 过 对 
规则 进行 分 又 ， 走 回 与 首席 开发 人 员 不 同 的 方向 。 与 退出 相 比 ， 分 又 赋 
予 用 户 更 多 的 权力 ， 像 比特 币 这 样 开源 系统 的 社区 比 完全 集中 系统 的 社 
区 拥有 更 多 权力 。 所 以 ， 虽 然 首 席 开 发 人 员 看 似 一 个 拥有 控制 权 的 集权 
式 实体 ， 事 实 上 ， 他 们 并 不 拥有 一 个 完全 集权 式 管理 人 员 或 软件 所 有 者 
所 拥有 的 权力 。 


规则 分 又 


创建 软件 分 文 或 规则 分 又 的 一 种 方式 是 ， 以 新 的 创 世 区 块 创 建新 的 
区 块 链 。 人 们 经 党 通过 这 种 方式 来 创建 妨 类 币 ， 我 们 将 在 第 10 章 谈 到 这 
个 问题 。 现 在 ， 我 们 来 谈 谈 对 规则 的 另 一 种 分 又 ， 这 种 分 又 不 仅 对 规则 
进行 分 又 ， 还 对 区 块 链 进行 分 又。 


在 第 3 章 中 ， 我 们 谈 到 了 硬 分 又 和 软 分 叉 之 间 的 区 别 ， 这 里 我 们 谈 
的 是 硬 分 又 。 当 对 规则 有 分 歧 时 ， 区 块 链 中 会 有 分 又 ， 导 致 两 个 分 文 。 


其 中 一 个 分 支 在 规则 A 下 有 效 ， 而 在 规则 B 下 无 效 ， 有 反之 亦 然 。 矿 工 一 
旦 在 两 种 不 同 的 规则 下 操作 ， 他 们 残 无 法 合并 到 一 起 ， 因 为 每 个 分 支 都 


将 包含 在 男 一 规则 下 无 效 的 交易 或 区 块 。 见 图 7.2。 


“货币 A” 


在 规则 A 下 有 效 ， 
规则 B 下 无 效 


“比特 币 ” 


在 规则 B 下 有 效 ， 
规则 A 下 无 效 


“货币 B" 


图 7.2 货币 中 的 分 又 
注 : 如 果 规 则 的 分 叉 导 致 区 块 链 的 硬 分 又 ， 那 么 货币 本 身 就 会 分 又 成 两 种 新 货币 。 
我 们 可 以 把 分 叉 前 的 货币 看 作 比 特 币 ， 深 受 人 们 认同 和 喜爱 的 比特 
币 。 分 又 之 后 ， 出 现 两 种 新 货币 ， 符 合 规则 A 的 货币 A 和 符合 规则 B 的 货 
币 了 B。 分 叉 时 ， 每 一 个 持 有 一 个 比特 币 的 人 得 到 一 个 货币 A 和 一 个 货币 
B。 分 又 后 ， 货 币 A 和 货币 B 开 始 分 开 运 行 ， 而 且 它 们 可 能 会 独立 运行 。 
这 两 者 的 规则 还 可 能 以 不 同方 式 继 续 发 展 。 


需要 强调 的 是 ， 不 仅仅 是 软件 ， 或 规则 ， 或 实现 规则 的 软件 分 又 
了 ， 货 币 本 身 也 分 又 了 。 这 个 有 趣 的 现象 只 可 能 发 生 加 密 数字 货币 中 ， 
却 不 能 发 生 在 传统 货币 中 ， 因 为 传统 货币 并 不 允许 用 户 将 货币 进行 分 
又 。 束 目前 我 们 所 了 解 的 情况 ， 不 管 是 比特 币 还 是 任何 另类 币 ， 尚 未 以 
这 种 方式 分 又 过 ， 但 确实 存在 这 个 奇妙 的 可 能 。 


人 们 会 对 这 样 的 分 又 做 出 何 种 反应 呢 ? 这 取决 于 分 又 的 原因 到 砌 是 
什么 。 第 一 种 情况 是 ， 进 行 分 义 的 原因 并 不 是 对 规则 存在 异议 ， 而 是 想 
创建 一 种 男 类 币 。 如 果 想 创建 一 种 与 比特 币 规则 类 似 的 男 类 币 ， 有 些 人 
会 通过 将 比特 币 的 区 块 链 分 又 的 方式 来 实现 。 这 对 比特 币 社区 来 说 并 不 
构成 真正 的 问题 ， 妃 类 币 单 独 运行 ， 与 比特 币 主 分 文 和 平 共存 ， 一 些 人 
偏好 比特 币 ， 男 一 些 人 更 偏好 男 类 币 。 但 是 ， 正 如 之 前 我 们 说 过 的 ， 截 


至 目前 ， 还 没有 人 通过 将 比特 币 或 现 有 另类 币 的 区 块 链 分 又 的 方式 来 创 
建新 的 另类 币 ， 他 们 一 般 都 通过 新 的 创 世 区 块 来 创建 。 


一 个 有 趣 的 情况 是 ， 如 果 分 又 的 原因 是 人 们 对 比特 币 的 未 来 发 展 存 
在 分 改 ， 换 言 之 ， 比 特 币 社区 内 部 发 生 叛 乱 ， 因 为 一 些 成 员 认 为 目 己 对 
系统 如 何 运 行 有 了 更 好 的 想法 ， 决 定 脱离 出 去 。 在 这 种 情况 下 ， 两 个 分 
文成 为 对 手 ， 会 争夺 市 场 份额 。 货 币 A 和 货币 B 都 会 努力 说 服 更 多 商家 
接受 它 ， 让 更 多 人 购买 它 。 每 种 货币 都 想 成 为 “真正 的 比特 币 ”。 它 们 都 
声称 自己 是 合法 的 ， 并 将 对 方 描述 成 一 个 怪 胎 ， 这 可 能 会 引发 一 场 公关 
之 战 。 


结果 很 可 能 就 是 某 一 分 支 胜利 ， 另 一 分 支 则 渐渐 消失 在 人 们 的 视线 
中 。 这 种 类 型 的 竞争 往往 指向 某 一 方向 。 一 旦 人 们 认为 这 两 个 分 文中 的 
茶 一 个 更 合法 并 获得 了 更 大 的 市 场 份额 ， 网 络 效应 会 越 来 越 明显 ， 而 男 
一 种 货币 将 成 为 一 种 利 基 (Cniche) 三 货币 并 将 最 终 消失 。 获 胜 方 的 规 
则 和 管理 架构 将 成 为 比特 币 事 实 上 的 规则 和 管理 架构 。 


1. 《商业 用 语 〉 是 指针 对 企业 的 优势 细 分 出 来 的 市 场 ， 这 个 市 场 不 大 ， 而 且 没 有 得 到 
令 人 满意 的 服务 。 产 品 推 进 这 个 市 场 ， 有 和 僵 利 的 基础 。 在 这 里 特 指针 对 性 、 专 业 性 很 强 
的 货币 。 译 者 注 


7.3 利 益 相关 者 : 谁 是 掌权 者 


比特 币 的 利益 相关 者 有 哪些 ? 真正 掌权 的 又 是 谁 ? 我 们 已 经 讨论 过 
比特 币 的 基础 是 人 们 对 它 达 成 的 共识 以 及 它 的 规则 手册 是 如 何 编写 而 成 
的 ， 分 析 过 分 又 的 可 能 性 以 及 因为 对 规则 存在 异议 而 可 能 引 及 的 斗争 ， 
那么 ， 谁 有 权 决 定 斗 争 的 胜利 者 呢 ? 现 在 我 们 来 谈 谈 这 个 问题 。 


换言之 ， 如 果 比 特 币 社区 存在 关于 规则 设 定 的 讨论 和 谈判 ， 而 谈判 
失败 了 ， 我 们 想 知 道 谁 将 对 最 终结 果 有 决定 权 。 通 常 来 说 ， 在 一 场 谈判 
中 ， 对 谈判 协议 拥有 最 佳 选择 的 一 方 具 有 优势 。 因 此 ， 搞 清楚 谁 更 有 可 
能 获胜 ， 将 帮助 我 们 了 解 谁 会 在 关于 比特 币 未 来 的 讨论 和 谈判 中 占据 上 
风 。 


我 们 代表 许多 不 同 的 利益 相关 者 做 出 如 下 声明 : 


1. 比 特 币 核心 钱包 首席 开 及 人 员 拥 有 权力 一 一 他 们 编写 规则 手册 ， 
几乎 人 人 都 要 使 用 他 们 的 代码 。 


2. 矿 工 拥有 权力 一 一 他 们 编写 历史 记录 ， 决 定 哪些 交易 是 有 效 的 。 
如 果 矿 工 选择 某 一 套 特定 的 规则 ， 理 论 上 来 说 ， 其 他 人 也 必须 要 遵守 
它 。 拥 有 更 强 采 矿 能 力 的 分 叉 将 创建 一 个 更 强大 、 更 安全 的 区 块 链 ， 因 
此 ， 更 有 能 力 把 规则 朝 某 一 方向 推进 。 矿 工 到 底 拥 有 有 多 大 的 权力 取决 
于 分 又 是 硬 分 又 还 是 软 分 又 ， 但 不 管 是 哪 种 分 又 ， 他 们 都 是 拥有 一 定 权 
力 的 。 

3. 投 资 人 拥有 权力 一 一 他 们 购买 并 持 有 比特 币 ， 决 定 了 比特 币 是 人 否 


具有 价值 。 可 以 说 ， 开 发 人 员 决 定 了 对 规则 的 共识 ， 矿 工 决 定 了 对 历史 
记录 的 共识 ， 那 么 ， 投 资 人 决定 了 对 比特 币 价 值 的 共识 。 在 人 硬 分 叉 的 情 


况 下 ， 如 果 大 多 数 投资 人 决定 把 他 们 的 钱 投入 货币 A 或 货币 B 中 ， 那 么 
该 特定 分 文 束 被 认为 是 合法 的 。 


4. 商 家 及 其 客户 拥有 权力 一 他 们 构成 对 比特 币 的 主要 需求 。 我 们 
在 第 4 章 中 讨论 过 ， 虽 然 投资 人 能 够 一 定 程度 上 支持 货币 价格 ， 但 推 高 
货币 价格 的 主要 需求 来 源 于 将 比特 币 作为 一 种 支付 技术 促成 交易 的 需 
求 。 因 此 ， 投 资 人 只 是 对 未 来 比特 币 的 需求 做 出 推测 。 


5. 文 付 服务 商 拥有 权力 一 一 它们 处 理 交 易 。 许 多 商家 并 不 在 意 它 们 
使 用 的 是 哪 种 货币 ， 它 们 只 想 与 一 家 文 付 服务 商 合 作 ， 文 付 服 务 商 允 许 
顾客 用 加 密 数 字 货 币 进行 支付 ， 承 担 全 部 风险 ， 并 在 每 日 结束 时 跟 自 己 
结账 。 因 此 ， 很 有 可 能 是 文 付 服务 商 构成 了 主要 需求 ， 商 家 、 顾 客 和 投 
资 人 只 是 跟随 者 。 


你 可 能 已 经 猜 到 了 ， 这 些 观 点 都 有 其 合理 性 ， 所 有 这 些 群 体 都 有 一 
定 的 权力 。 要 想 成 功 ， 一 种 电子 货币 需要 以 下 不 同形 式 的 共识 一 一 由 开 
发 人 员 编 写 的 稳定 的 规则 手册 、 和 采矿 能 力 、 投 资 、 丙 家 和 顾客 的 参与 以 
及 文 持 他 们 的 文 付 服务 商 。 所 以 ， 所 有 这 些 参与 方 都 对 影响 比特 币 未 来 
发 展 的 斗争 结果 有 一 定 的 话语 权 ， 但 没有 哪 一 方 是 拥有 绝对 控制 权 的 。 
这 是 一 个 庞大 、 曲 折 且 混乱 的 建立 共识 的 过 程 。 


另 一 个 与 比特 币 管 理 相 关 的 组 织 叫 比特 币 基 金 会 〈the Bitcoin 
Foundation) ， 它 成 立 于 2012 和 年， 成立 之 初 是 一 家 非 营利 组 织 。 现 在 它 
主要 扮演 两 个 角色 : 其 一 ， 它 从 资产 中 拿 出 一 部 分 资助 比特 币 核心 钱包 
开发 人 员 ， 以 便 他 们 可 以 全 力 以 赴 开 发 软件 ， 其 二 ， 它 与 政府 ， 特 别 是 
与 美国 政府 沟通 ， 作 为 比特 币 的 发 声 机 构 。 


现在 ， 比 特 币 社区 的 一 些 成 员 认 为 ， 比 特 币 的 运行 应 该 游离 并 独立 
于 传统 的 国家 政府 。 他 们 认为 比特 币 应 该 跨国 运行 ， 它 不 需要 癌 政 府 解 
释 或 证 明 自 己 ， 也 不 需要 与 他 们 谈判 。 其 他 人 则 不 这 么 认为 。 他 们 认为 
被 监管 无 法 规避 ， 甚 至 是 有 益 的 。 他 们 希望 政府 了 解 比特 币 社区 的 利益 


所 在 ， 听 到 比特 币 社区 的 声音 。 比 特 币 基金 会 的 诞生 部 分 是 为 了 满足 这 
个 需求 ， 可 以 说 ， 比 特 币 被 人 们 理解 和 接受 ， 很 大 程度 上 要 归功 于 比特 
币 基 金 会 一 直 以 来 与 政府 之 间 的 沟通 工作 。 


开放 协议 (open protocol) 的 治理 


我 们 已 经 对 比特 币 系 统 进 了 一 些 描述 ， 在 这 个 系统 中 ， 利 益 并 不 
完全 一 致 的 众多 利益 相关 者 在 开放 协议 和 系统 中 相互 协作 ， 达 成 技术 
上 的 和 社会 性 的 共识 。 这 可 能 让 你 想起 互联 网 本 身 。 比 特 币 核心 钱包 
和 互联 网 的 发 展 过 程 确 有 共同 之 处 。 例 如 ，BIP 束 类 似 于 “评议 请 
求 ”(Request for Comments， 简 称 RFC) ，RFC 是 一 种 用 于 设置 互联 
网 标准 的 文件 。 


比特 币 基金 会 一 直 备 受 和 争议 。 基 金 会 的 一 些 董事 会 成 员 卷 入 了 犯罪 
或 金钱 丑 阁 ， 人 们 对 他 们 在 多 大 程度 上 能 代表 比特 币 社区 存在 疑问 。 基 
金 会 面临 着 要 迅速 调整 此 类 将 种 来 负面 影响 的 董事 会 成 员 ， 但 这 会 带 来 
挑战 。 人 们 指责 它 缺 乏 透 明度 ， 而 且 正 在 迅速 走向 破产 。 截 至 2015 年 ， 
比特 币 基 金 会 能 够 在 比特 币 的 未 来 发 展 中 发 挥 多 大 的 作用 尚 不 明确 。 


另 一 个 非 营 利 性 组 织 “ 货 币 中 心 ”(Coin Center) 成 立 于 2014 年 9 
月 ， 总 部 位 于 华盛顿 特区 ， 承 担 了 比特 币 基 金 会 的 部 分 职能 ， 充 当 宣传 
和 与 政府 沟通 的 角色 。 货 币 中 心 的 运作 类 似 一 个 智 塞 团 ， 截 至 2015 年 年 
初 ， 它 受到 的 争议 较 小 。 比 特 币 基 金 会 和 货币 中 心 对 比特 币 的 控制 权 都 
比 不 上 其 他 的 任何 一 方 利益 相关 者 。 同 开源 代码 的 生态 系统 中 的 所 有 事 
物 一 样 ， 这 种 代表 性 实体 机 构 是 否 能 成 功 、 其 合法 性 能 否 获得 公众 认 
可 ， 取 决 于 随 着 时 间 的 推移 ， 它 们 能 够 在 比特 币 社区 获得 多 少 支 持 和 资 


爹 。 


总 之 ， 还 没有 一 个 实体 机 构 或 群体 对 比特 币 的 演化 拥有 绝对 的 控制 
权 。 从 劝 一 种 意义 上 来 次 ， 每 个 人 都 能 够 决定 比特 币 未 来 的 演化 ， 因 为 
管理 比特 币 的 正 是 人 们 对 比特 币 系统 如 何 运 作 所 达成 的 共识 一 一 对 规 
则 、 历 史记 录 和 价值 这 三 个 相互 关联 的 方面 所 达成 的 共识 。 任 何 一 种 规 
则 集合 、 群 体 或 管理 架构 ， 只 要 能 够 维持 在 这 三 方面 的 持久 共识 ， 就 能 
够 在 真正 意义 上 决定 比特 币 的 未 来 。 


7.4 比特 币 的 起 源 


现在 我 们 来 谈 一 谈 比特 币 的 起 源 。 它 是 如 何 开始 的 ? 它 的 前 身 是 什 
么 ? 我 们 对 其 神秘 的 创始 人 了 解 多 少 ? 


密码 朋 死 和 数字 货币 


比特 币 其 中 一 个 值得 一 提 的 前 映 是 密码 朋 元 (cypherpunk) ， 一 项 
汇聚 了 两 种 观点 的 运动 。 首 先是 自由 主义 ， 特 别 是 认为 如 果 没 有 或 者 极 
少 政府 干预 会 让 社会 更 好 的 观点 。 其 次 ， 访 运动 与 自由 主义 者 〈 甚 至 是 
无 政府 主义 者 ) 的 概念 联系 在 一 起 ， 加 上 强加 密 的 想法 ， 特 别 是 于 20 世 
纪 70 年 代 后 期 出 现 的 公 钥 密码 学 。 参 与 密码 朋克 运动 的 人 们 相信 ， 拥 有 
了 强大 的 网 络 隐私 和 强加 密 ， 他 们 可 以 重 塑 人 们 相互 交流 的 方式 。 密 码 
朋克 认为 ， 在 这 个 世界 上 ， 人 们 应 该 更 加 有 效 地 保护 自己 和 上 自身 权益 ， 
少 受 政府 行为 影响 (或 干预 〉。 


密码 朋克 过 到 的 一 个 难题 是 ， 在 他 们 所 构想 的 未 来 世界 中 ， 人 们 通 
过 强大 的 技术 和 加 密 手段 进行 网 上 沟通 时 ， 如 何 解 决 金钱 相关 的 问题 。 
许多 研究 都 是 为 了 探讨 这 个 问题 ， 特 别 是 大 卫 : 乔 姆 (David Chaum) 和 
其 他 人 所 做 的 关于 数字 货币 (digital cash) 的 早期 研究 工作 ， 他 们 试图 
创建 一 种 具有 现金 的 功能 、 能 够 匿名 使 用 和 极 易 交易 的 新 型 数字 货 
这 些 技术 性 的 想法 是 如 何 发 展 、 数 字 货 币 又 为 何 没 能 流行 开 来 ， 这 青 后 
是 一 个 有 趣 的 故事 《参见 前 言 部 分 ) 。 该 领域 的 所 有 前 期 工作 都 与 密码 
朋 殉 的 信仰 蜜 不可分， 特别 是 他 们 对 拥有 去 中 心 化 的 、 线 上 和 相对 私密 
的 强势 货币 的 愿望 ， 都 为 比特 币 的 诞生 播 下 了 种 子 。 它 也 是 很 多 比特 币 


追随 者 所 遵循 的 理念 基础 。 


中 本 聪 


2008 年 ， 中 本 聪 发 表 题 为 "比特 币 : 一 种 点 对 点 的 电子 现金 系统 ”的 
日 皮 书 ， 宣 告 了 比特 币 的 诞生 。 白 皮 书 当时 可 以 在 网 络 上 自由 下 载 ， 是 
第 一 篇 描述 比特 币 的 运作 模式 和 设计 理念 的 文章 。 现 在 ， 它 依然 可 以 帮 
助人 们 迅速 了 解 比特 币 的 技术 设计 和 理论 基础 。 中 本 聪 随后 发 布 了 实现 
白皮书 中 规范 的 开源 软件 ， 这 正 是 一 切 的 开端 。 时 至 今日 ， 中 本 聪 的 身 
份 依然 是 天 于 比特 币 的 最 大 谜团 。 


重要 的 是 ， 我 们 不 知道 中 本 聪 的 身份 并 不 是 什么 要 紧 事 ， 因 为 比特 
币 的 显著 特点 就 是 它 的 去 中 心 化 ， 而 且 不 受 任何 单一 实体 控制 。 中 本 聪 
并 不 是 掌权 人 ， 事 实 上 ， 自 从 2010 年 年 中 将 比特 币 的 控制 权 转 让 给 其 他 
开发 者 之 后 ， 他 便 不 再 积极 从 事 这 个 项 目 了 。 从 茶 种 程度 上 来 说 ， 中 本 
聪 到 底 在 想 什 么 已 经 不 重要 了 。 如 条 中 本 聪 再 度 活跃 起 来 ， 他 在 比特 币 
社区 的 声望 可 能 会 影响 社区 的 决策 ， 这 是 他 唯一 的 影响 力 。 


增长 


自 2009 年 1 月 正式 上 线 以 来 ， 比 特 币 已 经 取得 了 大 幅度 增长 。 我 们 
从 一 段 时 期 的 交易 走势 〈 见 图 7.3) 和 一 段 时 期 的 交易 数量 〈 见 图 7.4) 
中 都 可 以 很 清楚 地 看 到 这 一 点 ， 尽 管 有 过 一 段 时 期 的 滑落 ， 但 2013 年 下 
半年 又 开始 企稳 ， 并 于 2015 年 达到 峰值 。 虽 然 有 时 候 ， 增 长 是 渐进 的 ， 
但 也 有 激增 的 情况 ， 通 常 是 在 新 闻 事 件 发 生 之 后 。 总 的 来 说 ， 长 期 看 增 
速 是 加 快 的 。 


谁 是 中 本 陪 ? 


几乎 可 以 肯定 “中 本 聪 ”是 一 个 笔名 。 中 本 聪 上 自称 是 一 名 生活 在 日 
本 的 37 岁 中 年 男性 。 但 是 ， 目 前 没有 证 据 表 明 中 本 联 说 日 语 或 懂 日 
语 ， 但 是 他 的 英文 书写 相当 流利 ， 尽 管 美 式 拼写 和 类 式 拼写 混在 一 
起 。 有 不 少 人 研究 中 本 聪 的 文章 、 人 代码、 发 表 时 间 、 机 器 标识 符 等 蛛 
丝 马 迹 ， 试 图 以 此 回答 中 本 聪 的 母语 是 什么 ， 他 来 自 哪 里 。 有 些 人 甚 
符 试 通过 文体 计算 〈 对 作家 风格 进行 文字 算法 分 析 ) 来 找 出 中 本 陪 
的 身份 。 昌 然 有 些 人 目 称 是 中 本 聪 ， 甚 全 一 家 新 闻 媒 体 也 曾 这 样 宣称 
过 ， 目 前 ， 中 本 聪 的 真实 号 份 仍 是 未 知 数 。 请 参考 前 言 部 分 关于 中 本 
聪 的 更 多 讨论 。 
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图 7.3 比特 币 的 市 场 价 格 〈7 天 的 平均 值 ) 


注 : 注意 计算 尺 。 
资料 来 源 : bitcoincharts. com 
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图 7.4 日 均 交 易 量 《7 天 平均 值 ) 
资料 来 源 : bitcoincharts. com 


7.5 政府 对 比特 币 的 关注 


本 章 接 下 来 的 内 容 我 们 将 谈 谈 政府 ， 政 府 与 比特 币 的 关系 以 及 为 监 
管 比 特 币 所 做 的 努力 。 随 着 比特 币 成 为 一 个 足够 庞大 的 现象 ， 政 府 才 开 
台 注 意 到 比特 币 ， 并 开始 担忧 它 可 能 造成 的 影响 以 及 上 自己 应 该 如 何 应 
对 。 本 市 和 下 节 内 容 ， 我 们 将 讨论 为 什么 比特 币 会 让 各 国政 府 产 生 担 
忧 。 在 7.7 节 ， 我 们 将 参照 其 他 被 监管 的 业务 ， 讨 论 比特 币 可 能 会 被 监 
管 的 原因 。7.8 节 将 对 一 个 结合 了 第 规 消费 者 权益 保护 和 比特 币 特性 的 
监管 提案 进行 案例 分 析 。 


资本 定制 


政府 之 所 以 注意 到 比特 币 这 样 的 数字 货币 的 原因 之 一 在 于 ， 不 可 追 
踩 的 数字 货币 不 受 资本 管制 。 资 本 管制 是 指 一 个 国家 颁布 法 律 或 法 规 ， 
以 控制 流入 或 流出 该 国 的 资本 《货币 或 其 他 资产 ) 。 通 过 对 银行 和 投资 
行为 等 设置 限制 性 条 件 ， 国 家 可 以 监管 资金 流动 。 


在 某 些 情况 下 ， 比 特 币 可 以 轻而易举 地 绕 过 资本 管制 。 和 人 人 们 可 以 在 
某国 境内 购买 比特 币 ， 把 这 些 比特 币 以 电子 方式 转移 到 境外 ， 然 后 将 其 
多 现 成 资金 或 财产 。 这 样 ， 他 们 可 以 把 资金 或 财产 从 境内 转移 到 境外 ， 
或 从 境外 转移 到 境内 ， 而 不 受 政府 的 管制 。 因 为 财产 可 以 通过 这 样 的 电 
子 方式 轻而易举 地 进行 跨 境 转移 ， 而 且 无 法 真正 被 管控 。 政 府 如 果 想 对 
比特 币 进行 监管 ， 就 必须 把 比特 币 与 当地 法 定货 币 银行 系统 隔离 开 来 。 
这 样 ， 把 大 量 当 地 货币 兑换 成 比特 币 或 反 过 来 的 做 法 惑 行 不 通 了 。 一 些 
试图 进行 资本 管制 的 国家 确实 是 这 么 做 的 ， 有 些 国 家 采取 强硬 措施 ， 不 


允许 企业 用 比特 币 换取 当地 货币 ， 试 图 把 比特 币 与 法 定货 币 银行 系统 隔 
离开 来 。 


犯罪 
不 可 追踪 的 数字 货币 让 政府 担忧 的 另 一 个 原因 是 ， 它 使 某 些 犯罪 更 


加 容易 ， 特 别 是 涉及 支付 赎金 的 犯罪 ,例如 绑架 和 勒索 。 如 末 可 以 从 远 
程 匿名 支付 ， 这 些 犯罪 会 更 加 容易 。 


例如 ， 打 击 绑架 的 执法 人 员 往 往 依靠 受害 者 或 其 家 人 癌 绑 菲 转 账 的 
记录 提供 追查 线索 。 远 程 匿名 转账 会 加 大 执法 人 员 追 得 转账 流 回 的 难 
度 。 还 有 一 个 例子 ，CryptoLocker 软 件 可 以 对 受害 人 的 资料 恶意 加 密 ， 
并 要 求 必 须 用 比特 币 文 付 赎金 才 可 以 解密 。 这 样 ， 犯 罪行 为 和 文 付 行为 
都 可 以 远程 进行 。 同 样 ， 当 人 们 可 以 很 轻松 地 转账 ， 参 与 的 交易 并 不 需 
要 与 某 个 特定 的 个 人 或 组 织 绑 定 时 ， 逃 税 对 他 们 来 说 也 更 加 方便 了 。 最 
后 ， 如 果 远 程 转移 资金 可 以 不 通过 监管 机 构 ， 出 售 非法 商品 就 会 更 加 容 
易 。 


“丝绸 之 路 ” 


丝绸 之 路 公司 〈Silk Road) 三 就 是 一 个 很 好 的 例子 ， 它 自称 “匿名 
市 场 ”(anonymous marketplace) ， 被 称 为 “销售 非法 药品 的 易 贝 网 ”。 图 
7.5 是 “丝绸 之 路 ”的 网 站 截图 。 毒 品 是 它 的 主要 销售 商品 ， 在 网 页 右 侧 还 
可 以 看 到 为 数 不 多 的 其 他 类 别 的 在 售 商品 。 


卖家 可 以 在 “丝绸 之 路 ”宣传 自己 的 商品 ， 买 家 则 可 以 购买 它们 。 商 
品 通 第 通过 邮寄 或 货运 的 方式 发 到 买 家 手中 ， 文 付 方式 为 比特 币 。 网 站 
以 Tor 隐 匿 服 务 的 方式 运作 ， 我 们 在 第 6 章 已 经 讨论 过 这 个 概念 。 从 截图 


中 我 们 可 以 看 到 ， 网 站 地 址 为 http://silkroadvb5piz3r.onion。 这 样 ， 执 法 


人 员 也 无 法 追查 到 服务 器 的 位 置 。 
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图 7.5 丝绸 之 路 公司 网 站 的 截图 (2012 年 4 月 ) 


由 于 交易 是 通过 比特 币 支 付 的 ， 执 法 人 员 也 很 难 妃 查 资 金 流 问 ， 查 
出 哪些 人 参与 其 中 。 商 品 发 货 时 , “丝绸 之 路 ”网 站 暂 为 代 管 比特 币 。 这 
个 极 具 创新 性 的 代 省 机 制 有 助 于 防范 买 家 和 卖家 被 对 方 欺 骗 。 买 方 确认 
收 货 之 后 ， 网 站 才 会 把 比特 币 转 给 卖方 。 它 还 有 类 似 于 易 贝 的 信誉 评价 
系统 (reputation system) ， 买 家 和 卖家 在 交易 完成 之 后 获得 信誉 评级 。 
因为 这 个 信誉 评价 系统 , “丝绸 之 路 ”长 励 买 卖 双 方 以 符合 市 场 规 则 的 方 


式 进 行 交 易 。 


因此 ， 作 为 一 个 非法 购物 网 站 , “丝绸 之 路 ”是 很 有 创新 性 


的 ， 它 找到 了 一 条 以 遵循 市 场 规则 进行 远程 非法 交易 的 道路 ， 而 之 前 的 
非法 市 场 很 难 做 到 这 一 点 。 


“丝绸 之 路 ”由 一 个 自称 “您 怖 海盗 罗 伯 深 ”(Dread Pirate Roberts) 的 
人 运作 ， 这 显然 是 一 个 化 名 ， 极 有 可 能 来 源 于 小 说 或 电影 《公主 新 娘 》 
中 主人 公 的 名 字 。 网 站 自 2011 年 2 月 开始 运行 ，2013 年 10 月 ， 它 的 运营 
者 、 后 被 认定 束 是 “您 怖 海盗 罗 伯 次 ”的 罗斯 : 马 布 利 希 (Ross Ulbricht) 
被 逮捕 之 后 ， 网 站 关闭 。 乌 布 利 希 曾 试图 通过 使 用 多 个 化 名 账户 、Tor 
及 匿名 重 发 (Canonymous remailers) 等 方式 手 盖 自己 的 踪迹 。 尽 管 如 
此 ， 美 国政 府 还 是 将 种 种 蛛丝马迹 联系 在 一 起 ， 证 据 表 明 他 与 “丝绸 之 
路 ”的 活动 、 网 站 服务 器 以 及 作为 网 站 运营 者 所 控制 的 比特 币 之 间 存 在 
密切 联系 。 他 被 判 犯 下 与 运营 网 站 相关 的 多 项 罪行 。 他 的 罪行 还 包括 买 
久 杀 人 人， 幸运 的 是 ， 他 在 这 方面 的 能 力 实在 太 欠 缺 ， 并 没有 人 被 杀害 。 


在 打击 “丝绸 之 路 ”的 过 程 中 ， 联 邦 调查 局 收缴 了 约 174 000 比 特 币 ， 
当时 市 值 超过 3 ”000 万 美元 。 根 据 美国 法 律 ， 政 府 有 权 没 收 任何 犯罪 所 
得 收益 。 后 来 ， 政 府 拍 卖 了 部 分 收缴 的 比特 币 。 


“丝绸 之 路 ”的 教训 


从 执法 人 员 和 “丝绸 之 路 ”的 较量 中 ， 我 们 可 以 吸取 一 些 教训 。 第 
一 ， 把 现实 世界 和 虚拟 世界 完全 分 离开 是 很 困难 的 。 马 布 利 希 认为 目 己 
可 以 既 拥 有 现实 生活 ， 又 可 以 用 一 个 秘密 里 份 来 经 营 庞 大 的 业务 和 技术 
设施 。 事实 上 ， 把 这 两 个 世界 分 开 ， 让 二 者 不 存在 任何 一 丝 联 系 ， 是 很 
难 做 到 的 。 活 跃 地 参与 到 一 些 需 要 与 他 人 协调 的 活动 中 ， 同 时 想 长 期 保 
持 匿 名 ， 这 会 非常 困难 。 一 旦 两 种 身份 之 间 出 现 了 一 些 联系 ， 比 如 ， 如 
果 你 穿帮 了 ， 可 能 会 用 为 外 一 个 里 份 来 为 此 打 掩 护 ， 这 种 联系 永远 不 会 
消失 。 这 样 ， 随 者 时 间 推 移 ， 一 个 人 所 使 用 的 不 同 身 份 就 会 渐渐 有 了 天 
联 性 。 这 正 是 发 生 在 乌 布 利 希 身上 的 事情 一 一 他 在 早期 用 同一 台 计 算 机 
访问 自己 的 个 人 账户 和 “ 矶 怖 海盗 罗 伯 次 ”账户 。 这 些 错 误 最 终 为 调查 人 
员 提 供 了 线索 ， 发 现 他 的 现实 号 份 。 


另 一 个 教训 是 执法 人 员 可 以 对 资金 进行 退 踪 。 在 乌 布 利 硕 被 捕 之 
前 ， 联 邦 调查 局 就 已 经 知道 “丝绸 之 路 ”运营 者 管理 着 的 比特 币 地 址 ， 他 
们 一 直 监 控 着 这 些 地 址 。 因 此 ， 尽 管 马 布 利 希 的 区 块 链 拥有 大 量 财富 ， 
他 无 法 从 这 些 财 语 中 收益 ， 因 为 只 要 他 试图 转移 资产 ， 就 会 留 下 可 追踪 
的 痕迹 ， 很 可 能 会 导致 他 迅速 被 捕 。 因 此 ， 尽 管 乌 布 利 希 拥有 174 000 
比特 币 ， 在 现实 生活 中 ， 他 并 没有 过 上 奢侈 的 生活 。 他 居住 在 旧金山 一 
个 一 大 室 的 公寓 里 ， 显 然 ， 他 无 法 将 自己 积累 的 财 定 钢 现 。 


简 而 言 之 ， 如 果 你 有 意 经 营 一 家 秘密 的 犯罪 公司 一 一 当然 ， 我 们 并 
不 推荐 这 条 “事业 ”道路 一 一 做 起 来 可 能 要 比 你 想象 中 难得 多 。 比 特 币 和 
Tor 这 样 的 技术 并 不 是 刀枪 不 入 的 ， 执 法 部 门 仍然 拥有 很 多 重要 的 手段 
帮助 侦破 案件 。 尽 管 执 法 部 门 对 比特 币 的 崛起 有 过 一 定 仆 佐 ， 但 它们 依 
然 可 以 对 资金 进行 妃 踪 ， 而 且 也 有 基 备 侦破 犯 菲 案件 的 强大 能 力 ， 让 那些 
从 事 需 要 与 他 人 协调 的 犯罪 行为 的 人 日 子 不 那么 好 过 。 


同时 , “丝绸 之 路 ?是 关 财 了 ， 但 执法 部 门 并 没有 完全 关闭 通过 比特 
币 交 易 的 经 营 非法 药物 的 黑市 。 事 实 上 , “丝绸 之 路 ?关闭 之 后 ， 这 类 黑 
市 如 雨后春笋 般 涌 现 ， 其 中 一 些 较为 突出 的 黑市 包括 绵羊 集 市 〈Sheep 
Marketplace) 、“ 丝 绸 之 路 2.0”(Silk Road 2) 、 黑 市 重 装 上 阵 (Black 
Market Reloaded) 、 进 化 〈Evolution) 和 阿 格拉 〈Agora) 。 由 于 执法 
人 员 的 行动 或 者 内 部 人 员 的 偷 锣 ， 其 中 大 多 数 现在 已 经 不 复 存 在 。 虽 然 
如 此 ， 研 究 发 现 ， 执 法 部 门 对 这 种 黑市 的 打击 并 未 使 其 放 绥 增 长 ， 其 销 
售 额 反 而 上 涨 。 网 站 经 营 者 可 能 私吞 买 家 被 代 管 的 资金 ， 然 后 消失 。 为 
了 规避 这 种 安全 风险 ， 新 出 现 的 集 市 多 采取 多 重 签名 代 管 《我 们 在 第 3 
章 已 讨论 过 ) ， 不 再 采用 “丝绸 之 路 ”由 经 营 者 保管 资金 的 方式 。 


1. 丝绸 之 路 公司 是 一 个 利用 Tor 的 隐秘 服务 来 运作 的 黑市 购物 网 站 。2013 年 ， 美 国 FBI 
捣毁 了 丝绸 之 路 公司 ， 并 且 逮 捕 了 该 网 站 创始 人 。 一 一 编辑 注 


7.6 肥 洗 钱 


这 本 市 中 ， 我 们 将 讨论 洗钱 和 反 洗 钱 相关 法 律 、 政 府 ， 尤 其 是 美国 
政府 所 制定 的 反 洗 钱 (Anti-Money Laundering, 简 称 AML) 法 律 对 比特 
币 相 关 业 务 造 成 的 影响 。 


反 洗 钱 政策 的 目的 在 于 防止 资金 的 大 量 秘密 外 流 或 流入 ， 防 范 资金 
在 非法 与 合法 企业 或 机 构 之 间 秘 密 流动 。 在 7.5 市 我 们 讨论 过 ， 资 本 管 
制 是 为 了 防止 资金 的 跨 境 流动 。 在 革 些 情况 下 ， 政 府 并 不 介意 资金 跨 境 
流动 ， 但 它们 想 知道 资金 的 来 源 和 去 癌 。 反 洗钱 政策 的 目的 是 给 菏 些 特 
定 类 型 的 犯罪 行为 增加 难度 ， 特 别 是 有 组 织 犯 罪 。 有 组 织 犯 罪 的 罪犯 经 
常会 收 到 大 笔 资金 ， 需 要 转移 这 些 资 金 ， 但 又 不 想 对 任何 人 解释 这 笔 资 
金 的 来 源 ， 以 及 为 什么 想 把 这 笔 资 金 转移 到 境外 。 或 者 ， 徘 犯 通过 非法 
活动 赚 到 了 一 大 笔 钱 ， 想 通过 合法 企业 使 其 合法 化 ， 这 样 ， 犯 罪 头目 就 
可 以 购买 各 种 奢侈 品 。 反 洗钱 的 目的 惑 是 让 资金 转移 更 加 困难 ， 而 且 ， 
有 人 试图 这 么 做 时 ， 会 更 容易 被 发 现 。 


了 解 你 的 客户 


“了 解 你 的 客户 ”(Know Your Customer， 人 简称 KYC) 原则 ， 是 打击 
洗钱 活动 的 根本 对 策 之 一 。KYC 原 则 的 细节 有 些 复 杂 ， 而 且 根据 立场 不 
同 而 有 所 变化 ， 但 其 核心 思想 是 , “了 解 你 的 客户 ”原则 要 求 ， 对 于 一 些 
有 资金 处 理 业 务 的 特定 类 型 的 企业 ， 需 要 做 到 以 下 三 件 事 : 


1， 识 别 并 验证 客户 一 一 获得 客户 的 里 份 证 明 ， 确 定 客 户 的 真实 时 
份 与 他 们 声称 的 里 份 一 怪 ， 并 确保 他 们 声称 的 喘 份 与 现实 世界 的 真实 入 


份 对 应 。 一 个 人 推 开门 直接 走 进 屋 ， 说 自己 是 住 在 美国 某 市 茶 街 道 多 少 
号 的 张 三 、 李 四 ， 企 业 不 能 赁 此 口述 确认 他 的 身份 ， 他 必须 提供 可 靠 的 
号 份 证 明文 件 。 


2， 评 估 客 户 风险 一 确定 客户 从 事 地 下 行为 的 风险 。 通 过 评估 客 
户 行为 以 确定 风险 一 一 他 们 与 公司 的 合作 关系 是 否 长 久 、 他 们 在 社区 的 
知名 度 以 及 其 他 多 个 因素 等 。 通 常 而 言 ，KYC 原 则 要 求 公司 对 看 起 来 风 
险 更 大 的 客户 实施 监控 。 


3， 监控 异常 举动 一 一 监控 看 似 洗钱 或 犯罪 的 行为 。 如 果 一 个 客户 
看 上 去 不 其 可 靠 ， 或 者 无 法 对 其 映 份 进行 充分 验证 ， 或 者 其 行为 没有 符 
合法 律 的 要 求 ， 那 么 KYC 原 则 往往 要 求 公司 终 止 与 这 种 客户 的 业务 往 
来 。 


强制 上 报 


美国 的 强制 上 报 (mandatory reporting) 对 比特 币 的 业务 影响 重大 。 
众多 行业 内 的 公司 被 要 求 必须 将 超过 10 000 美 元 的 资金 交易 进行 上 报 。 
它们 需要 提交 一 份 《 资 金 交 易 报 告 》， 说 明 交 易 内 容 和 交易 对 手 的 里 
份 ， 这 份 报告 还 要 求 对 交易 对 手 进 行 刁 份 验证 。 报 告 提交 后 ， 所 有 信息 
纳入 政府 数据 库 ， 以 便 将 来 分 析 是 否 存 在 洗钱 行为 的 嫌疑 。 


美国 政府 还 要 求 各 公司 关注 那些 可 能 通过 人 为 操控 以 规避 上 报 交易 
的 客户 ， 比 如 ， 由 于 法 规 只 要 求 对 金额 超过 10 ”000 美 元 的 交易 进行 汇 
报 ， 一 些 人 可 能 开展 数 笔 金额 为 9 ”999 美 元 的 交易 。 如 果 发 现 客户 操控 
交易 ， 公 司 必须 编写 《可 疑 行为 报告 》， 并 汇报 给 政府 。 同 样 ， 这 些 信 
奶 也 会 被 录入 政府 数据 库 ， 用 于 可 能 对 客户 开展 的 调查 。 


各 个 国家 的 要 求 各 不 相同 。 在 此 ， 我 们 并 不 是 想 提 供 什 么 法 律 建 
议 。 讨 论 这 个 话题 只 是 为 了 说 明 反 洗钱 法 规 提 出 的 一 些 要 求 。 不 管 是 美 


国政 府 还 是 其 他 政府 ， 都 非常 重视 反 洗 钱 法 规 ， 一 旦 有 人 违反 ， 可 能 会 
被 判 以 重 刑 。 有 一 坚 法 律 ， 违 反之 后 ， 政 府 可 能 会 投诉 你 ， 然 后 你 再 设 
法 去 解决 它 ， 反 洗钱 法 并 不 是 这 样 的 。 


政府 已 经 关闭 了 许多 比特 币 企 业 ， 一 些 是 暂时 的 ， 一 些 是 永久 的 。 
还 逮捕 了 一 些 从 业 人 员 ， 也 有 一 些 人 因为 违反 反 洗 钱 法 而 银 匀 入 狱 。 不 
管 是 使 用 比特 币 还 是 法 定货 币 ， 国 家 都 会 严 历 打击 洗钱 行为 。 目 从 注意 
到 比特 币 市 场 已 经 足够 大 ， 可 能 会 带 来 洗钱 风险 ， 政 府 部 门 束 强化 了 对 
比特 币 相关 企业 可 能 洗钱 的 监控 。 如 果 你 有 兴趣 创建 一 家 需要 处 理 大 额 
资金 的 企业 ， 那 就 需要 跟 理解 这 些 法 规 的 律师 好 好 谈 谈 。 


7.7 监管 


现在 让 我 们 来 直接 谈 谈 监管 问题 。 监 管 通常 背负 恶名 ， 亲 比特 币 派 
无 其 不 喜欢 这 个 词 。 这 些 人 认为 ， 监管 是 一 种 官僚 主 义 ， 它 们 根本 就 不 
了 解 我 的 业务 ， 不 羽 我 做 的 事情 ， 只 会 横 插 一 脚 ， 把 事情 摘 古 。 监 管 是 
一 种 负担 ， 它 不 仅 患 蕊 ， 而 且 喀 无 意义 。 这 种 观点 很 普 裔 ， 而 且 容 易 得 
到 认同 ， 它 也 许 不 无 道理 ， 但 此 处 我 们 不 再 重复 了 。 


相反 ， 在 本 市 中 ， 我 们 将 探讨 为 什么 监管 有 时 是 可 取 的 ， 因 为 很 多 
人 并 不 理解 这 种 观点 。 澄 清 一 点 ， 我 们 虽然 在 本 节 要 人 花 大 量 篇 幅 来 解释 
为 什么 监管 有 时 是 一 件 好 事 ， 这 并 不 代表 我 们 支持 对 比特 币 进行 全 面 监 
管 。 但 是 我 们 想 让 认为 监管 生 而 可 恶 的 社区 听 到 一 点 不 同 的 声音 。 


赞成 监 浓 的 基本 原因 是 ; 当 市 场 失 灵 并 带 来 大 家 一 致 认可 的 恶果 
时 ， 监 管 可 以 介入 ， 并 解决 这 种 失灵 。 由 于 市 场 并 不 总 是 给 出 最 优 的 结 
末 ， 上 所 以 我 们 说 监管 有 时 是 有 益 的 。 


我 们 可 以 用 经 济 学 术语 更 为 准确 地 表达 这 一 观点 。 我 们 担心 市 场 会 
失灵 ,“ 失 灵 ” 的 意思 ， 并 不 是 说 坏事 发 生 ， 或 者 有 人 觉得 他 们 被 敲诈 或 
被 不 公平 对 待 。 我 们 指 的 是 ， 对 市 场 参 与 者 进行 不 同 的 商品 分 配 ， 这 会 
让 每 个 人 更 好 ， 或 者 至 少 不 会 更 差 。 这 种 不 同 的 分 配 被 称 为 帕 累 托 改进 


(Pareto improvement) 。 


柠 标 市 场 


柠 桂 市 场 〈lemons market, 也 称 为 次 品 市 场 ) 是 可 能 导致 市 场 失 灵 的 


一 个 经 典 案例 。 柠 檬 市 场 的 名 称 起 源 于 汽车 销售 行业 ， 但 这 个 概念 并 不 
局 限于 这 个 行业 。 假 设 所 有 汽车 要 么 优质 要 么 劣质 ， 没 有 中 间 地 帝 。 制 
造 一 辆 优质 汽车 的 成 本 比 一 辆 劣质 汽车 的 成 本 高 不 了 多 少 ， 但 对 于 购买 
汽车 的 人 来 说 好 处 则 多 很 多 。 


如 琳 市场 运行 恨 好 《〈 即 经 济 学 家 所 说 的 “有效 运行 >) ， 汽 车 销售 商 
会 同 顾客 提供 更 多 优质 汽车 。 这 是 因为 ， 虽 然 优 质 汽车 价格 较 高 ， 但 大 
多 数 消费 者 更 喜欢 优质 汽车 ， 愿 意 花 更 多 的 钱 购买 。 所以， 在 假设 条 件 
下 ， 市 场 会 提供 这 样 令 人 愉悦 的 结果 。 


但 是 假设 顾客 分 辨 不 出 哪些 汽车 是 优质 的 ， 哪 些 是 劣质 的 。 一 辆 劣 
质 汽 车 〈 一 个 “ 森 标 ”， 众 称 次 品 ) 从 外 观 上 看 上 去 似乎 很 不 错 ， 但 顾客 
不 知道 它 会 不 会 明天 束 亏 火 ， 还 是 可 以 开 很 人 入。 销售 丙 很 可 能 知道 它 是 
一 个 次 品 ， 但 是 顾客 是 分 辨 不 出 来 的 。 


接 下 来 ， 我 们 考虑 这 种 森 榜 市 场 是 如 何 驱 动人 们 的 消费 行为 的 。 作 
为 一 名 消费 者 ， 由 于 在 购买 汽车 前 根本 看 不 出 区 别 ， 即 便 销售 商 告 诉 顾 
客 这 辆 车 非常 好 ， 顾 客 只 需要 多 掏 100 美 元 就 可 以 买 下 ， 顾 客 未 必 会 相 
信人 他， 也 束 不 愿意 掏 多 余 的 钱 买 一 辆 优质 汽车 。 


由 此 带 来 的 结果 是 ， 生 产 商 并 不 会 因为 多 卖 出 一 辆 优质 汽车 而 多 赚 
一 笔 钱 。 事 实 上 ， 每 卖 一 辆 优质 汽车 ， 它 们 反倒 赔钱 ， 因 为 优质 汽车 的 
生产 成 本 更 高 ， 它 们 并 没有 赚 到 差价 。 最 终 ， 生 产 商 只 生产 劣质 汽车 ， 
而 顾客 对 目 己 所 购买 到 的 商品 非 党 不满， 市场 就 卡 在 这 个 平衡 上 。 


与 正常 运行 的 市 场 相 比 ， 这 个 结果 对 每 个 人 来 说 都 更 糟糕 。 它 对 消 
费 者 来 次 更 糟 ， 因 为 他 们 不 得 不 凑合 使 用 劣质 汽车 。 在 一 个 运行 更 加 有 
效 的 市 场 中 ， 他 们 可 能 只 需要 多 花 一 点 钱 ， 束 可 以 购买 到 质量 好 得 多 的 
汽车 。 对 于 生产 商 来 说 也 很 糟 ， 因 为 市 场 中 出 售 的 汽车 都 是 次 品 ， 消 费 
者 可 能 就 不 会 买 那么 多 汽车 ， 因 此 ， 销 售 汽车 获得 的 利润 要 比 在 一 个 健 
康 市 场 上 的 利润 少 得 多 。 


这 个 现象 就 是 市 场 失 灵 。 柠 柑 市 场 并 不 专 指 汽车 行业 。 任 何 待 售 的 
存在 信息 不 对 称 (asymmetric information， 即 买方 或 卖方 中 的 一 方 比 另 
一 方 对 商品 品质 的 了 解 要 多 ) 的 商品 或 小 部 件 都 会 齐 遇 市 场 失灵 。 经 济 
学 文献 可 以 提供 汽车 行业 以 外 的 更 多 肥 例 。 


修复 森 模 市 场 


通过 一 些 市 场 手 段 ， 可 以 修复 柠 标 市 场 。 一 种 手段 是 通过 卖方 的 信 

。 如 果 卖 方 总 是 实话 实说 ， 告 诉 买 方 哪些 是 优质 蝇 9 哪 尝 是 务 奈 品 ， 大 
人 方 束 会 被 大 家 认为 是 城 实 的 。 一 旦 有 了 这 种 信誉 ， 它 们 
就 能 够 以 更 高 的 价格 出 售 优质 汽车 ， 因 为 消费 者 会 相信 它们 说 的 话 ， 市 
场 也 就 可 以 更 有 效 地 运行 。 这 一 手段 有 时 奏效 ， 有 时 无 效 ， 取 决 于 对 市 
场所 做 的 假设 是 否 准 确 。 当 然 ， 它 即便 有 效 ， 也 比 不 上 消费 者 能 够 分 辨 
商品 质量 好 坏 的 市 场 。 而 且 ， 生 产 者 需要 一 段 时 间 才 能 建立 自己 的 信 
誉 。 这 也 就 要 求 它 们 必须 要 在 一 段 时 间 内 以 低 价 销售 优质 的 商品 ， 直 到 
消费 者 意识 到 它们 的 城 实 可 靠 。 这 加 大 了 诚信 卖家 进入 市 场 的 难度 。 


还 有 另外 一 个 潜在 问题 ， 即 便 是 一 个 一 直 有 诚信 的 卖家 ， 当 它 决定 
退出 市 场 〈 比 如 因为 销售 额 下 降 ) 时 ， 就 不 再 有 动力 继续 对 买方 说 实 
话 。 它 可 能 会 趁机 大 肆 其 骗 买 方 ， 然 后 关门 大 吉 。 因 此 ， 在 卖家 一 开始 
进入 市 场 或 决定 退出 市 场 时 ， 通 过 卖家 信誉 来 修复 标 檬 市 场 的 方式 并 不 
一 定 奏 效 。 


对 于 消费 者 不 会 从 同一 个 买 家 重复 购买 商品 的 行业 ， 或 者 商品 是 新 
兴 事 物 ， 卖 方 还 没有 足够 的 时 间 建 立 起 信誉 的 行业 ， 通 过 信誉 修复 柠檬 
市 场 的 手段 也 很 可 能 不 会 奏效 。 像 比特 币 这 样 的 高 科技 市 场 就 面临 这 样 
的 问题 。 


为 一 种 修复 森 榜 市 场 的 手段 是 担保 。 卖 家 问 买 家 提供 担保 ， 也 就 


是 ， 如 果 商 品 最 终 被 证 明 是 劣质 的 ， 志 家 会 换代 或 退 蒜 。 这 种 方法 是 比 
较 有 效 的 ， 但 也 存在 一 个 问题 ， 担 保 也 是 为 一 种 可 能 存在 质量 叫 低 的 丙 
品 ! 如 果 是 一 个 务 质 担保 ， 当 购买 的 商品 出 现 问题 后 ， 卖 家 可 能 根本 区 
不 免 现 之 前 的 承 诡 ， 或 者 在 买 家 要 求 苋 现 担 保 承 诡 的 过 程 中 故意 设置 各 
种 难题 。 


通过 监管 手段 修复 


如 果 确 实 存 在 一 个 森 标 市场 ， 而 且 上 述 所 有 的 市 场 手段 均 未 奏效 ， 
那么 监管 可 能 会 帮 上 忙 。 有 具体 来 说 ， 监 管 可 以 通过 以 下 三 种 方法 修复 标 
柑 市 场 。 


第 一 种 方法 是 ， 监 管 可 以 要 求 信息 公开 。 比 如 ， 可 以 要 求 所 有 的 汽 
车 都 贴 上 标签 ， 标 明 它 是 优质 汽车 还 是 劣质 汽车 ， 并 对 造假 的 企业 施 以 
处 昼 。 这 可 以 让 消费 者 了 解 他 们 之 前 并 不 了 解 的 信息 。 第 二 种 监管 方法 
征 出 具 质 量 标准 ， 只 有 通过 质量 标准 检测 的 汽车 才 可 以 出 售 ， 仍 则 不 得 
出 售 。 有 了 这 样 一 个 标准 ， 只 有 优质 汽车 才能 够 通过 质量 检测 。 如 果 监 
党 奏效 ， 可 能 会 导致 市 场 上 只 有 单一 质量 的 汽车 ， 但 至 少 都 是 优质 汽 
车 。 第 三 种 方法 是 ， 监 管 可 以 要 求 所 有 的 销售 方 出 具 担 保 ， 并 强制 执行 
这 些 担 保 ， 这 样 ， 销 售 方 束 必须 对 其 做 出 的 承 诡 负 责 。 


所 有 这 些 监管 手段 都 可 能 失效 ， 和 它们 可 能 达 不 到 预想 效果 ， 可 能 会 
写 得 不 好 、 误 用 ， 或 者 对 卖家 造成 负担 。 但 是 这 种 监管 为 村 要 市 场 导 致 
的 市 场 失灵 问题 提供 了 一 个 可 能 的 解决 方案 。 例 如 ， 一 些 文 持 对 比特 币 
交易 市 场 进 行 监管 的 人 ， 有 时 就 认为 它 是 个 标 标 市 场 。 


串 谋 和 反 董 断 法 


市 场 不 以 最 优 方式 运作 的 为 一 个 例子 束 是 价格 垄断 。 价 格 垄 断 是 指 
不 同 卖 家 相互 串通 ， 一 致 上 调 或 下 调价 格 的 做 法 。 另 一 个 与 之 相关 的 情 
况 是 ， 本 应 该 是 竞争 关系 的 公司 决定 不 再 相互 竞争 。 例 如 ， 茶 市 有 两 家 
面包 店 ， 它 们 商量 好 ， 一 家 只 卖 松 饼 而 吃 一 家 只 卖 面包 阁 ， 这 样 ， 比 它 
们 两 家 同时 既 卖 松 人 饼 又 卖 面包 图 的 竞争 要 小 得 多 。 竞 争 减少 ， 商 品 价格 
目 然 上 涨 ， 商 家 对 市 场 的 运行 造成 阻碍 。 


总 之 ， 一 个 正常 运转 的 市 场 主要 通过 竞争 来 保护 消费 者 权益 。 卖 家 
必须 以 最 优惠 的 价格 回顾 客 提供 最 好 的 产品 来 进行 苋 争 ， 任 则 ， 它 们 就 
没有 业务 。 价 格 垄 断 或 串 谋 行为 规避 了 竞争 。 如 果 人 们 采取 措施 规避 竞 
搜 ， 这 是 太一 种 形式 的 市 场 失 灵 。 


在 大 多 数 司法 管辖 区 ， 商 量 好 涨 价 或 者 不 竞争 的 行为 是 违法 的 。 这 
是 反 垄 断 法 或 竞争 法 的 一 部 分 内 容 。 这 一 法 律 的 目的 是 限制 蓄意 阻碍 或 
损害 苋 搜 的 行为 。 一 般 来 说 ， 它 更 侧重 于 限制 诸如 通过 并 购 减 少 范 争 的 
行为 ， 而 不 是 为 消费 者 提供 物美 价 廉 的 商品 。 肥 垄断 法 很 复杂 ， 我 们 只 
做 了 一 些 简单 介绍 ， 但 它 为 市 场 失 录 后 ， 法 律 如 何 介 入 并 纠正 市 场 失 灵 


提供 了 一 个 案例 。 


7.8 纽约 州 比特 币 牌 照 


截至 目前 ， 我 们 已 经 对 监管 内 容 做 出 了 概述 : 监管 的 不 同形 式 ， 为 
什么 在 茶 些 情况 下 监管 是 有 利于 经 济 运行 的 。 接 下 来 ， 我 们 来 看 看 纽约 
州 比 特 币 牌照 《Biticense) ， 这 是 茶 个 州 对 比特 币 监 管 所 做 出 的 一 项 有 具 
体 努 力 。 此 处 摘 述 的 细 市 对 于 我 们 的 讨论 影响 不 大 ， 因 为 我 们 的 目标 并 
不 是 让 你 了 解 一 个 法 律 条 丈 。 相 反 ， 我 们 希望 帮助 你 了 解 监 管 部 门 都 在 
做 哪些 事情 以 及 它们 是 如 何 考虑 这 些 问 题 的 。 


《纽约 州 比特 币 牌 照 提 案 》 最 初 于 2014 年 7 月 提交 ， 后 续 根 据 比特 
币 社区 、 和 行业、 公众 以 及 其 他 利益 相关 者 的 反馈 进行 了 修订 ， 最 后 由 州 
立 监 管 金融 行业 的 纽约 州 金融 服务 管理 局 (New York Department of 
Financial Services， 简 称 NYDFS〉 于 2015 年 8 月 颁布 施行 。 当 然 ， 纽 约 州 
是 世界 最 大 的 金融 中 心 ， 州 金融 服务 管理 局 也 习惯 与 大 型 金融 机 构 打 交 
道 。 


涉及 范围 


《纽约 州 比特 币 脾 照 提 案 》 是 一 套 关 于 虚拟 货币 (virtual 
currency) 的 规范 、 法 规 和 规章 制度 。 它 要 求 ， 如 果 你 想 要 从 事 以 下 任 


虚拟 货币 业务 行为 是 指 涉及 纽约 州 或 纽约 州 居民 的 以 下 类 型 的 行 
为 : 
1. 接收 虚拟 货币 用 于 传输 或 传输 虚拟 货币 ， 交 易 用 途 为 非 金 融 性 


且 不 涉及 超过 虚拟 货币 面额 的 转移 除外 。 

2. 存储 、 持 有 或 为 他 人 代 管 虚拟 货币 。 

3. 为 客户 提供 购买 或 销售 虚拟 货币 的 服务 。 

4. 为 客户 提供 莞 换 服务 。 

5. 控制 、 管 理 或 发 行 虚拟 贷 币 。 

内 部 员工 或 其 本 身 对 软件 的 开发 与 传播 ， 并 不 属于 虚拟 货币 业务 
行为 。 

(摘自 纽约 金融 服务 管理 局 的 《纽约 州 比特 币 牌照 提案 》 的 原 
区 过 


以 上 条 球 是 指 “ 涉 及 纽约 州 或 纽约 州 大 民 的 行为 "反映 了 纽约 州 金 
融 服 务 管理 局 的 监管 权力 。 然 而 ， 这 种 法 规 不 仅 对 纽约 州 ， 对 其 他 州 也 
造成 影响 ， 原 因 有 二 : 第 一 ， 在 面临 要 么 遵守 州 的 法 律 ， 要 么 放弃 在 该 
州 的 业务 时 ， 像 对 纽约 或 者 加 利 福 尼 亚 这 样 人 口 众多 的 州 ， 大 多 数 公司 
都 会 选择 遵守 州 法 。 第 二 ， 在 对 一 些 经 济 领 域 的 监 省 上 ， 一 些 州 通常 被 
视 为 领导 者 一 一 纽约 州 在 金融 领域 、 加 利 福 尼 亚 在 科技 领域 。 这 也 就 意 
味 厦 ， 美 国 其 他 州 会 沿 关 领导 者 设 定 的 方 回 走 下 去 。 


请 注意 第 一 条 提 到 , “交易 用 途 为 非 金融 性 的 除外 ?， 这 是 在 第 二 
修订 中 增加 的 ， 这 一 点 加 得 很 好 ， 它 吻 除 了 那些 仅 把 比特 币 当 作 平 台 的 
应 用 程序 ， 我 们 将 在 第 9 章 探 讨 。 第 二 条 涵盖 了 钱包 服务 。 人 至 于 第 二 
条 ， 你 可 以 为 自己 购买 和 出 售 比特 币 ， 但 是 把 它 作 为 业务 回顾 客 提 供 服 
务 则 需要 获取 比特 币 牌照 。 第 四 条 足够 清晰 明白 。 最 后 一 条 可 能 更 适用 
于 男 类 币 ， 与 比特 币 相 比 ， 许 多 男 类 币 的 中 心 化 更 强 。 我 们 将 在 第 10 章 
中 讨论 妃 类 币 。 


在 条 球 的 最 后 ， 把 软件 开发 作为 例外 特别 声明 ， 也 是 非常 重要 的 。 
在 最 初版 本 中 并 不 包括 这 句 申明 ， 引 发 了 比特 币 社区 的 强烈 抗议 。 纽 约 


州 金 融 服 务 管理 局 局 长 本 杰 明 : 苑 斯 基 《〈Benjamin Lawsky) 随后 做 出 解 
释 ， 申 明 本 条 天 的 目的 并 不 是 为 了 监管 开发 人 员 、 丰 工 或 使 用 比特 币 的 
个 人 。 最 终 版 本 包含 了 上 述 两 个 明确 的 例外 情况 。 


要 求 


相关 实体 都 必须 申请 一 个 牌照 。 你 可 以 在 提案 中 找到 关于 如 何 申请 
牌照 的 详细 规定 (参见 本 间 最 后 的 “延伸 阅读 ”) ， 但 是 简 而 言 之 ， 你 需 
要 提供 一 些 充分 的 材料 ， 证 明 你 对 企业 的 所 有 权 、 经 济 状况 、 保 险 和 商 
业 计划 ， 以 便 让 纽约 州 金 融 服务 管理 局 了 解 你 是 谁 、 你 是 否 有 足够 诚 
信 、 你 的 经 济 来 源 以 及 你 打算 用 此 做 什么 。 此 外 ， 你 还 需要 文 付 一 笔 申 
请 费 。 


be 


获得 牌照 后 ， 你 还 需要 向 纽约 州 金融 服务 省 理 局 提供 所 有 权 、 经 济 
状况 、 保 险 等 信息 。 你 还 必须 定期 提供 财务 报表 ， 以 便 让 它们 了 解 你 的 
经 营 状 况 。 你 还 需要 维护 一 笔 财务 储备 金 ， 纽 约 州 金融 服务 管理 局 会 根 
气 你 的 业务 具体 情况 ， 确 定 具 体 金 额 。 


提案 包含 如 何 监 管 客户 资产 等 内 容 ， 也 有 非 第 详细 的 条 球 。 提 案 也 
包括 反 洗钱 条 球 ， 其 内 容 可 能 与 现 有 法 律 一 怪 ， 也 可 能 比 现 有 法 律 规 定 
的 内 容 更 多 。 提 案 包 括 关 于 安全 计划 和 渗透 测试 等 方面 的 条 球 ;， 还 有 一 
些 关 于 灾难 恢复 预 条 的 条 丈 ， 规 定 了 必须 制订 灾难 恢复 计划 以 应 对 一 切 
可 能 发 生 的 糟糕 情况 ; 包括 了 历史 记录 保存 的 相关 条 和 玖 ， 申 请 者 必须 要 
保存 记录 ， 并 允许 纽约 州 金融 服务 定理 局 在 某 些 情况 下 对 其 进行 访问 ; 
申请 者 还 必须 制定 合 规 的 章程 ， 在 组 织 内 部 任命 专门 的 合 规 员 ， 并 赋予 
必要 的 权力 ， 确 保 业 务 的 合 规 性 。 此 外 ， 申 请 者 还 必须 向 客户 披露 风 
险 ， 让 他 们 了 解 与 申请 者 进行 业务 往来 可 能 存在 的 风险 。 


正如 你 所 看 到 的 ， 提 案 要 求 的 名 目 楷 多 ， 与 成 立 共同 基金 或 股票 上 


市 所 要 满足 的 要 求 极 为 类 似 。 因 此 ， 比 特 币 牌照 是 比特 币 历史 上 关键 的 
一 步 。 可 能 还 有 其 他 部 门 也 会 开始 介入 比特 币 的 监管 ， 然 后 比特 币 业 务 
就 会 越 来 越 接 近 传 统 的 受 监管 的 金融 业务 。 


这 可 能 会 跟 蜜 码 朋 元 和 密码 目 由 主义 者 们 对 比特 币 的 期 望 背 道 而 
驰 。 但 这 可 能 具有 一 定 的 必然 性 ， 因 为 随 着 比特 币 价 值 的 增加 ， 比 特 币 
业务 将 会 越 来 越 大 ， 政 府 会 对 它们 产生 兴趣 ， 监 管 也 就 随 之 而 来 。 比 特 
币 业 务 会 对 现实 世界 的 人 们 及 实体 经 济 产生 影响 。 如 果 比 特 币 发 展 到 了 
这 种 程度 ， 也 就 意味 着 它 已 经 发 展 到 了 需要 被 监管 的 程度 。 它 表明 比特 
币 最 初 禾 拥 者 的 理念 开始 淡出 ， 但 兄 一 方面 ， 它 也 表明 比特 币 生态 系统 
在 不 断 壮大 ， 并 且 正 在 与 受到 更 严格 监管 的 实体 经 济 不 断 融合 。 不 管 你 
对 此 持 何 种 态度 ， 对 比特 币 的 监管 正在 发 生 ， 如 果 你 有 兴趣 创立 一 家 比 
特 币 公司 ， 你 需要 关注 这 一 趋势 。 


这 种 监管 比特 币 的 努力 会 成 功 吗 ? 可 以 有 不 同 的 方式 来 看 待 它 ， 但 
征 有 一 种 方式 ， 可 以 从 提升 比特 币 业 务 质量 的 角度 ， 来 评估 像 比 特 币 牌 
照 这 种 监管 措施 的 有 效 性 : 如 果 企 业 在 向 非 纽约 州 的 客户 推广 业务 时 申 
明 ， 它 们 拥有 比特 币 牌 照 ， 因 此 它们 是 可 以 信赖 的 。 假 如 企业 的 申明 会 
让 和 客户 信服 并 由 此 开展 业务 往来 ， 那 么 监管 措施 正如 它 的 支持 者 设想 的 
那样 ， 肥 挥 了 作用 。 这 个 场景 是 否 会 及 生 ， 以 及 监管 措施 完 苋 会 产生 什 
么 样 的 影响 ， 让 我们 拭目以待 。 
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第 8 章 


其 他 挖 矿 算法 


由 于 控 矿 算法 的 复杂 性 使 得 任何 个 人 或 团体 都 难以 操控 共识 成 形 的 
过 程 ， 挖 矿 算 法 被 认为 是 比特 币 系 统 的 核心 。 因 为 比特 币 矿 工 通 过 解 迹 
来 获得 奖励 ， 所 以 我 们 可 以 期 望 他 们 会 花 大 量 的 时 间 与 精力 去 寻找 捷径 
而 更 加 快速 有 效 地 解 亦 ， 以 增加 他 们 的 收益 。 另 一 方面 ， 如 果 有 些 工 作 
对 网 络 有 利 但 并 不 能 让 矿工 更 快速 地 解 谜 ， 他 们 可 能 会 包 视 那些 工作 来 
最 小 化 他 们 的 成 本 。 所 以 解 谜 的 设计 对 引导 和 指引 矿工 起 着 全 关 重 要 的 
指导 作用 。 


在 本 章 中 ， 我 们 会 讨论 一 些 其 他 的 挖 矿 解读 Cmining ” puzzle) 设 
计 ， 假 设 我 们 可 以 改善 比特 币 的 解 谜 甚至 重新 设计 一 套 新 的 解 谜 过 程 。 
一 个 经 典 的 设计 挑战 是 让 解 恋 过 程 能 够 限制 ASIC 控 矿 ， 这 样 一 来 可 以 
平衡 计算 机 设备 性 能 上 的 差距 (拥有 一 般 电脑 的 矿工 与 拥有 优化 过 的 
ASIC 矿 工 之 间 的 设备 差距 ) 。 还 有 什么 其 他 设计 是 需要 我 们 考量 的 ? 
有 哪些 行为 需要 我 们 鼓励 ， 而 哪些 需要 阻止 ? 我 们 会 讨论 一 些 有 着 不 同 


特征 的 案例 ， 从 减少 能 源 消耗 (这 对 社会 及 展 有 着 积极 意义 )， 到 约束 
分 矿工 具 的 形成 。 有 一 些 已 经 被 男 类 币 所 采用 ， 为 外 一 些 还 处 于 理论 研 
完 阶 段 ， 可 能 将 来 会 被 用 到 。 


8.1 算法 的 基本 要 求 


我 们 首先 来 看 一 下 一 些 挖 矿 算法 的 主要 安全 要 求 。 如 果 算 法 本 里 不 
能 满足 比特 币 安全 性 上 的 基本 要 求 的 话 ， 我 们 也 没有 必要 引入 一 些 新 奇 
的 特点 。 


己 经 有 许多 可 能 的 要 求 ， 有 些 我 们 在 前 面 的 第 2 章 和 第 5 章 中 已 经 讨 
论 过 。 挖 矿 解 谜 的 结果 需要 被 及 时 验证 ， 因 为 每 个 在 网 络 上 的 市 点 都 在 
验证 每 个 解 迹 的 结果 ， 即 使 是 那些 没有 直接 参与 挖 矿 的 节点 ， 包 括 
SPV《〈 简 单 文 付 验证 ) 的 客户 器 。 我 们 还 需要 解 谜 的 难度 具有 可 调整 的 
特征 ， 解 谜 难度 可 以 随 着 新 加 入 用 户 而 增 大 的 哈 希 算 力 得 到 调整 。 这 样 
一 来 ， 解 谜 过 程 就 可 以 具备 足够 的 难度 使 得 对 区 块 链 的 攻击 变 得 代价 高 
昂 ， 同 时 又 能 保证 解 谜 本 身 可 以 在 一 个 稳定 的 频率 上 实现 《比特 币 系 统 
中 大 约 每 10 分 钟 完成 一 个 解 恋 过 程 〉。 


到 底 什 么 是 比特 币 的 挖 矿 解 谜 ? 

到 现在 为 止 我 们 一 直 在 用 “比特 币 解 迹 ”这 个 名 称 ， 更 加 精确 的 
说 法 是 ， 我 们 称 它 为 一 个 “不 完全 哈 布 函数 原 像 解 谜 ”(partial 
hash-preimage puzzle)， 因 为 这 个 运算 的 目的 ， 是 找到 一 个 不 完全 
的 特定 哈 希 苞 数 输出 值 的 原 像 一 一 也 就 是 一 个 低 于 某 一 特定 目标 区 值 
的 结果 。 除 此 之 外 ， 一 些 军 见 的 特征 也 可 以 用 来 作为 比特 币 的 挖 矿 解 
谜 运算 ， 比 如 找到 一 个 区 块 ， 它 的 哈 希 函数 值 至 少 有 k 个 点 位 是 零 ， 
但 是 通常 直接 比较 既定 目标 是 最 简单 的 方法 。 


比特 币 用 的 基于 SHA-256 挖 矿 解 谈 哈 希 函 数 ， 很 显然 已 经 满足 了 这 
两 个 要 求 。 它 可 以 通过 任意 调节 一 个 参数 〈 目 标 ) 来 灵活 增加 难度 。 检 


查 这 个 谜底 很 容易 ， 只 需要 一 个 SHA-256 计 算 和 一 个 与 目标 的 比较 即 
可 ， 不 管 找 到 这 个 谜底 的 过 程 有 多 么 困难 。 


另外 一 个 核心 的 要 求 更 加 微妙 : 在 任意 单位 时 间 找 到 一 个 谜底 的 成 
功率 ， 大 致 上 要 与 所 贡献 的 哈 希 算 力 成 比例 。 这 束 意 味 着 ， 大 矿工 虽然 
拥有 非常 强大 的 挖 矿 机 ， 他 也 只 是 有 着 一 定 比例 的 优势 来 成 为 下 一 个 找 
到 谜底 的 矿工 。 即 使 是 小 矿工 ， 也 会 有 一 定 的 机 会 能 够 成 功 并 且 获 取 奖 
励 。 


为 了 说 明 这 一 点 ， 我 们 先 来 设想 一 个 没有 满足 这 个 要 求 的 不 合格 解 
谜 过 程 。 想 象 一 下 茶 一 个 挖 太 解 谜 要 经 过 精确 的 n 个 步骤 找到 一 个 谜 
底 。 例 如 ， 不 同 于 我 们 当前 要 求 的 “找到 一 个 SHA-256 结 果 低 于 某 一 个 
固定 目标 的 区 块 ” 的 做 法 ， 如 果 要 求 计算 n 个 连续 的 SHA-256 函 数值 ， 这 
种 做 法 检查 结果 会 变 得 没有 效率 ， 但 是 这 个 问题 目前 无 天 紧要 ， 更 大 的 
问题 在 于 ， 因 为 这 个 解 谜 过 程 需 要 精确 的 n 个 步骤 来 完成 ， 所 以 网 络 上 
解 谜 更 快 的 矿工 将 会 永远 是 获得 下 一 个 奖励 的 启 家 。 很 快 这 个 情况 就 变 
得 路 人 篆 知 ， 最 快 的 矿工 会 完成 所 有 解 亦 ， 而 其 他 矿工 完全 没有 动力 继 
续 参 与 下 去 。 


再 次 声明 ， 一 个 好 的 解 谜 方案 ， 是 给 每 个 矿工 一 个 按 比 例 性 的 成 功 
概率 来 赢得 下 一 个 谜 确 ， 这 个 概率 是 与 他 们 所 页 献 的 哈 希 算 力 成 比例 。 
就 好 比 往 一 个 不 同 大 小 色 块 组 成 的 目标 板 上 随机 地 掷 飞 镖 ， 每 个 不 同 大 
小 色 块 就 类 似 于 不 同 矿工 所 具有 的 挖 矿 运算 能 力 。 如 果 你 考虑 到 这 一 
点 ， 这 就 意味 着 你 猜 中 谜底 的 概率 并 不 取决 于 你 已 经 做 了 多 少 工 作 去 解 
谜 (因为 大 矿工 们 总 是 会 做 更 多 的 工作 量 ) 。 所 以 一 个 好 的 解 谈 是 “无 
关 过 程 的 ”(progress free) 三 。 


从 数学 角度 来 看 ， 一 个 好 的 挖 矿 解 谜 一 定 是 一 个 “无 记忆 进程 
的 ”(memoryless process) 而 任何 其 他 的 方法 都 将 由 于 过 去 的 挖掘 
工作 ， 不 可 避免 地 在 一 定 程度 上 奖励 挖 矿工 人 人。 因此， 任何 可 行 的 解 谜 


从 根本 上 都 是 一 个 不 断 试 错 的 过 程 〈trial-and-error) 。 这 种 解 谜 所 需要 
的 时 间 ， 必 然 服 从 一 个 指数 分 布 三 ， 我 们 曾 在 第 2 章 讨论 过 。 


可 以 调整 的 难度 、 快 速 验证 和 无 关 过 程 属 性 ， 古 比特 币 挖 矿 解 谜 的 
三 大 核心 特征 。 基 于 SHA-256 算 法 的 “不 完全 哈 而 函数 原 像 解 谜 ? 显 然 满 
足 了 这 三 大 要 求 。 有 些 人 可 能 会 说 其 他 一 些 特征 也 很 重要 ， 我 们 在 后 面 
讨论 其 他 潜在 功能 的 时 候 会 所 及 。 


1. 意思 是 来 得 早 ， 不 如 来 得 巧 ， 但 这 个 巧 后 面 的 学 问 就 大 了 。 一 一 译 者 注 


2. 旅客 进入 机 场 的 时 间 间 隔 也 是 一 个 指数 分 布 ， 后 面 进 来 一 个 人 的 时 间 间 隔 与 前 面 进 
来 人 的 时 间 间 隔 无 关 。 一 一 译 者 注 


8.2 反 ASIC 解 谜 算法 


首先 我 们 从 讨论 设计 一 个 可 以 反 ASIC 解 谜 (ASIC-resistant puzzles) 的 
挑战 开始 ， 这 个 挑战 也 是 最 被 广泛 讨论 和 追求 的 可 蔡 代 目前 比特 币 挖 矿 
解 谜 的 一 种 。 我 们 在 第 5 章 中 讨论 过 ， 比 特 币 挖 矿 最 初 是 用 普通 电脑 ， 
然后 再 升级 到 GPU 和 定制 化 的 FPGA 设 备 ， 到 现在 基本 上 由 非常 强大 的 
优化 过 的 ASIC 蕊 片 所 垄断 。 现 在 的 ASIC 的 挖 矿 运算 能 力 比 一 般 电 脑 甚 
至 早期 的 ASIC 都 要 高 太 多 。 一 般 的 电脑 即使 硬件 本 身 是 免费 的 ， 也 会 
因为 电费 价格 等 因素 而 变 得 不 可 行 。 


这 个 转变 意味 着 ， 在 比特 币 生态 系统 里 的 大 部 分 个 体例 如 使 用 比 
特 币 交 易 的 客户 和 商家 ) 已 经 无 法 参与 到 挖 矿 过 程 中 了 。 有 些 人 认为 这 
是 一 个 危险 的 势头 ， 一 小 部 分 职业 矿工 控制 了 整个 挖 矿 的 过 程 。 在 中 本 
聪 最 初 有 关 比 特 币 的 论文 里 ， 用 到 过 “一 个 CPU 一 守 ” 的 说 法 ， 这 个 说 法 
时 不 时 被 有 些 人 用 来 说 明 比 特 币 应 该 是 一 个 被 全 部 用 户 所 拥有 的 民主 系 
统 。 


其 他 人 和 觉得 ASIC 的 崛起 是 不 可 避免 的 ， 而 且 这 也 不 会 伤害 到 比特 
币 ， 这 种 希望 实现 反 ASIC 的 愿望 也 只 是 有 些 人 希望 回 到 “过 去 的 好 时 
光 ”。 对 于 反 ASIC 是 否 可 取 ， 我 们 保持 中 立 的 态度 ， 因 为 只 有 这 样 ， 我 
们 才 可 以 深入 讨论 一 些 技 术 上 的 挑战 和 提议 的 方 宁 ， 来 实现 反 ASIC 的 
目标 。 


反 ASIC 到 底 是 什么 意思 


大 致 上 说 ， 我 们 想 抑制 为 了 控 矿 而 特别 定制 的 设备 的 优势 。 这 也 可 


以 理解 为 ， 设 计 一 个 解 谜 程序 ， 让 现 有 的 普通 电脑 成 为 最 廉价 和 最 有 效 
率 的 解 谜 运算 设备 。 但 这 在 现实 中 不 可 能 ， 毕 竞 所 有 的 通用 电脑 的 中 央 
处 理 絮 里 已 经 针对 一 些 特殊 目的 进行 了 优化 。 并 不 是 所 有 的 电脑 都 有 相 
同 的 优化 配置 ， 并 且 它 们 随 着 时 代 而 改变 。 比 如 ， 过 去 的 10 年 中 ， 英 特 
尔 (Intel) 和 AMD 在 必 片 里 加 入 特殊 指令 〈 通 第 叫 作 “ 增 加 人 硬件 文 持 ”) 
来 更 加 有 效 地 计算 高 级 加 密 标准 (Advanced Encryption Standard， 人 简称 
AES) 的 区 块 密码 。 所 以 有 些 电脑 在 挖 矿 这 个 事情 上 总 是 会 比 其 他 电脑 
更 加 低 效 。 另 外 ， 很 难 想 象 设计 一 个 控 太 解密 程序 ， 而 这 些 程序 是 依赖 
普通 个 人 电脑 诸如 音 啊 或 显示 器 这 些 特性 的 ， 所 以 去 除了 那些 通用 特性 
的 具有 特殊 目的 的 设备 ， 很 可 能 会 更 有 效率 ， 并 且 成 本 更 低 。 


更 加 实际 地 说 ， 我 们 有 一 个 适中 的 目标 : 设计 一 个 解 谜 程序 ， 尽 可 
能 地 减少 最 有 效率 的 定制 运算 设备 与 通用 电脑 之 间 的 效率 差距 。ASIC 
还 是 会 不 可 避免 地 成 为 更 加 有 效 的 挖 矿 机 ， 但 我 们 至 少 可 以 将 其 运算 效 
能 限制 在 一 定 范 围 内 ， 从 而 让 个 人 用 户 使 用 他 们 已 有 的 通用 电脑 来 挖 矿 
仍 具 备 一 定 的 经 济 效应 。 


刚性 内 存 解 迹 


大 多 数 被 设计 成 反 ASIC 的 解 谜 程序 中 ， 最 普 遇 被 应 用 的 叫 作 刚性 

内 存 解 谜 (memory-hard puzzles ) 解 谜 需 要 大 量 的 内 存 来 计算 ， 而 
不 是 靠 大 量 的 CPU 时 间 。 一 个 类 似 但 又 不 一 样 的 概念 是 内 存 限制 解 迹 
(memory-bound puzzles) ， 人 花 在 读 取 内 存 上 的 时 间 ， 占 据 了 这 种 程序 
大 部 分 的 计算 时 间 。 一 个 解 谜 可 以 是 刚性 内 存 类 而 不 是 内 存 限 制 类 ， 或 
是 内 存 限制 类 而 不 是 刚性 内 存 类 ， 或 是 二 者 菩 而 有 之 。 一 个 微妙 但 重要 
的 区 别 在 于 ， 虽 然 CPU 的 速度 是 计算 时 间 的 诅 贷 ， 但 平行 运算 大 量 解 谜 
的 成 本 ， 还 是 被 内 存 的 成 本 所 左右 ， 或 者 反之 亦 然 。 通 常 对 于 运算 类 的 
解 谜 程序 ， 我 们 要 做 到 刚性 内 存 和 内 存 限制 ， 就 需要 保证 在 运算 过 程 中 
大 量 的 内 存 被 要 求 使 用 ， 使 之 成 为 一 个 限制 性 因素 。 


为 什么 刚性 内 存 解 恋 或 内 存 限制 解 谜 可 以 反 ASIC? 因为 用 来 计算 
哈 希 函数 的 逻辑 运算 只 占 了 CPU 里 的 一 小 部 分 ， 意 思 是 在 比特 币 的 解 谜 
计算 里 ，ASIC 不 需要 执行 一 些 不 必要 的 功能 ， 而 只 需要 执行 计算 哈 希 
函数 的 相关 功能 ， 所 以 占 了 很 大 优势 。 另 外 一 个 相关 因素 是 ， 不 同 的 内 
存 性 能 上 的 差异 〈 和 单位 性 能 的 成 本 ) 比 不 同 处 理 器 之 间 运 算 速 度 上 的 
差异 要 小 很 多 ， 所 以 ， 如 果 我 们 设计 了 一 个 刚性 内 存 类 的 解 谜 ， 计 算 时 
需要 相对 简单 的 算 力 但 需要 大 量 的 内 存 ， 这 就 意味 着 ， 解 密 成 本 的 上 升 
速率 将 会 像 内 存 成 本 提升 速率 那样 ， 在 一 个 相对 低 一 些 的 水 平 。 三 


SHA-256 己 经 被 认定 为 不 是 刚性 内 存 解 文 算法 。 它 只 需要 一 个 小 小 
的 256 位 模块 ， 可 以 很 容易 地 被 放 进 CPU 的 注册 机 里 。 但 设计 一 个 刚性 
内 存 类 的 工作 量 证 明 解 谜 不 是 一 件 太 难 的 事 。 


Scrypt 


现在 最 受 欢 迎 的 刚性 内 存 解 谜 叫 作 Scrypt 三 ， 被 第 二 大 加 密 数 字 货 
币 莱特 币 以 及 其 他 加 密 数字 货币 所 用 。 


Scrypt 是 一 个 刚性 内 存 的 哈 硕 函数 ， 最 早 是 为 了 加 密 密 人 码 而 不 容易 
被 天 力 破解 (比如 ， 及 复试 错 破 解 )， 所 以 挖 矿 解 谈 与 比特 币 用 的 “不 
完全 哈 希 函数 原 像 解 谜 " 是 一 样 的 ， 只 不 过 用 Scrypt 取 代 了 SHA-256。 


Scrypt 在 比特 币 被 发 明 出 来 之 前 就 已 经 存在 ， 而 且 它 是 用 来 加 密 个 
人 和 密码， 这 一 点 让 我 们 对 它 的 安全 性 有 一 定 的 信心 。 密 码 的 哈 希 函数 化 
其 实 与 反 ASIC 有 着 相似 的 目的 。 出 于 安全 性 考虑 ， 我 们 期 望 ， 一 个 有 
者 定制 化 设备 的 攻击 者 不 能 够 比 使 用 一 般 电脑 或 者 服务 器 的 用 户 更 快 地 
计算 密码 的 函数 值 。 


Scrypt 基 本 上 有 两 个 步骤 : 第 一 个 步 又 是 在 用 随机 数据 填充 随机 存 


取 存 储 器 (Random Acess Memory， 简 称 RAM) 里 面 的 缓存 空间 ; 第 二 
步 是 从 这 块 内 存 区 域 里 虚拟 随机 地 读 取 (或 者 更 新 ) 数据， 同时 要 求 整 
个 缓存 都 存储 在 RAM 里 面 。 


def scrypt(N, seed): 
V = [8] * N /初始 化 N 长 度 的 缓存 区 域 


// 往 这 个 区 域 里 充满 虚拟 随机 数 
V[6] = seed 
for i = 1 to N: 

V[i] = SHA-256(V[i-1]) 


// 然后 从 这 个 区 域 里 虚拟 随意 地 读 取 
X = SHA-256(V[N-1]) 
for i = 1toN: 


j] = X % N V/ 根 据 X， 选 择 一 个 随机 的 索引 
X = SHA-256(X ^ V[j]) V 根 据 X 的 索引 来 更 新 这 个 X 
return X 


图 8.1 Scrypt 虚 拟 代码 


图 8.1 展 示 了 一 段 Scrypt 的 伪 代 码 (pseudocode) 来 体现 核心 的 计算 原 
则 ， 但 我 们 也 省 略 了 一 些 细节 一 一 在 实际 中 ，Scrypt 使 用 更 大 一 点 的 数 
据 块 ， 然 后 用 来 充满 缓存 区 的 算法 略微 复杂 一 点 。 


为 了 理解 为 什么 Scrypt 是 刚性 内 存 类 的 ， 我 们 先 想象 一 下 如 果 我 们 
要 计算 同样 的 值 ， 但 不 用 缓存 区 V( 参见 图 8.D)。 这 当然 也 是 可 行 的 一 一 
但 在 第 9 行 代码 里 ， 我 们 需要 重新 动态 地 计算 值 V[j]， 这 需要 进行 j 次 的 
SHA-256 的 迭代 运算 。 因 为 j 的 值 在 每 次 迭代 循环 里 会 从 0 和 N-1 中 虚拟 随 
机 地 选择 ， 因 此 这 平均 需要 N/2 次 SHA-256 计 算 。 这 意味 着 计算 整个 函 
数 需 要 NxN/2=N2?/2 个 SHA-256 计 算 ， 但 是 如 果 使 用 一 个 缓存 的 话 ， 只 需 
要 进行 2N 次 运算 。 因 此 ， 绥 存 的 使 用 将 Scrypt 的 时 间 复 杂 度 从 O(N”) 转 
换 成 O(n)。 这 样 一 来 ， 只 要 简单 地 选 一 个 足够 大 的 N 值 使 得 O(N”) 的 计算 
变 得 足够 慢 ， 以 此 确保 使 用 内 存 是 更 快 的 选择 。 


在 时 间 与 内 存 之 间 的 权衡 


如 果 没 有 一 个 较 大 的 内 存 缓存 ， 计 算 Scrypt 会 变 得 很 慢 ， 但 是 用 较 
少 的 内 存 来 增加 相对 较 少 的 计算 还 是 可 能 的 。 假 设 我 们 使 用 一 个 大 小 约 
N/2 的 缓存 〈 而 不 是 N 的 大 小 ) ， 现 在 ， 我 们 只 在 j 是 偶数 的 情况 储存 VDj] 
的 值 ， 丢 掉 那 些 j 是 奇数 的 值 。 而 在 第 二 次 循环 里 ， 一 半 的 情况 下 j 为 奇 
数 的 值 将 会 被 选 到 ， 但 这 种 情况 还 是 很 容易 被 计算 的 。 我 们 只 需要 简单 
地 计算 SHA-256(V[j-1]))， 因 为 V[j-1] 在 我 们 的 缓存 里 。 忆 在 一 半 的 时 间 
内 会 产生 这 种 情况 ， 所 以 它 增加 了 N/2 个 额外 的 SHA-256 计 算 。 


因此 ， 对 内 存 要 求 量 的 减 半 只 会 增加 1/4 的 SHA-256 计 算 量 (从 2N 
到 5N/2) 。 总 体 来 说 ， 我 们 可 以 储存 缓存 区 域 V 里 的 每 个 k 排 数据 ， 即 
使 用 Nk 的 内 存 和 计算 〈k+3) N/2 次 的 SHA-256 和 迭代 计算 。 在 这 个 限制 
下 ， 如 果 我 们 设 定 k=N， 我 们 就 回 到 先前 运算 时 间 为 O(N”) 的 计算 。 这 
些 数字 不 一 定 非常 精确 地 适用 于 Scrypt 算 法 本 身 ， 但 是 渐 近 预测 的 方式 
确实 是 适用 的 。 


除 此 之 外 ， 还 有 其 他 的 设计 可 以 弱化 用 时 间 来 换取 内 存 的 能 力 。 举 
例 来 说 ， 如 果 一 个 缓存 持续 地 在 第 二 次 循环 中 被 更 新 ， 它 可 以 让 时 间 与 
内 存 之 间 的 互 换 不 是 那么 有 效 ， 因 为 这 些 更 新 必须 被 储存 在 内 存 中 。 


校 验 成 本 


Scrypt 的 男 一 个 局 限 性 是 ， 它 需要 用 与 计算 所 用 的 同样 大 小 的 内 存 
来 做 校 验 。 为 了 让 内 存 刚性 有 意义 ，N 需 要 变 得 比较 大 。 这 意味 着 一 个 
Scrypt 的 计算 要 比 一 个 SHA-256 的 迭代 计算 (在 比特 币 里 只 需要 一 个 
SHA-256 计 算 就 可 以 校 验 ) 昂贵 许多 倍 。 


这 会 产生 负面 的 结果 ， 因 为 在 网 络 里 的 每 个 用 户 必须 重复 这 个 计算 


来 检查 每 一 个 新 发 现 的 区 块 是 否 有 效 。 这 会 减缓 新 区 块 传播 和 被 认可 的 
速度 ， 从 而 增加 了 分 又 攻击 三 的 风险 。 它 还 要 求 每 个 客户 端 〈 即 使 是 轻 
量 级 的 SPV 客 户 端 ) 拥有 足够 的 内 存 来 有 效 地 进行 函数 计算 。 这 样 一 
来 ， 实 际 上 在 加 冤 数 字 货 币 中 能 够 被 Scrypt 用 到 的 内 存 N 是 有 限 的 。 


一 直到 最 近 我 们 都 不 明确 ， 是 否 有 可 能 设计 一 个 控 矿 解 谜 程序 在 计 
算 上 是 刚性 内 存 类 的 ， 又 可 以 很 快 地 《不 需要 大 量 内 存 ) 进行 校 验 。 这 
个 特性 对 密码 进行 哈 希 运算 没有 多 大 作用 ， 在 用 于 加 密 数 字 货 币 之 前 ， 
这 是 Scrypt 算 法 的 主要 用 途 。 


在 2014 年 ， 一 个 叫 作 杜 鹏 乌 周 期 的 新 解 文 算法 被 约翰 - 特 龙 普 
(John Tromp) 所 提出 《起 这 个 名 字 是 因为 这 个 算法 的 特性 与 杜 鹏 乌 的 
特性 类 似 ， 杜 占 激 巢 ) 。 杜 鹏 乌 周 期 算法 ， 是 从 杜 鹏 乌 哈 希 表 所 衍生 的 
一 张 图 中 寻找 周期 的 难度 而 设 定 的 ， 杜 鹏 乌 哈 希 表 这 种 数据 结构 在 2001 
年 才 被 首次 提出 。 除 了 建立 起 一 个 很 大 的 哈 希 表 之 外 ， 没 有 其 他 已 知 的 
方法 来 计算 这 个 周期 ， 结 果 却 可 以 通过 发 现 一 个 周期 (相对 小 的 ) 来 简 
单 地 验证 。 


这 个 算法 可 能 会 让 刚性 内 存 或 是 内 存 限制 类 的 证 明 工 作 在 比特 币 共 
识 里 变 得 更 加 实用 。 可 惜 的 是 ， 这 个 函数 无 法 在 数学 上 证 明 ， 如 果 它 不 
用 内 存 的 话 就 不 能 补 有 效 地 计算 。 通 第 ， 一 个 新 的 密码 学 算法 看 起 来 都 
是 安全 的 ， 但 是 社区 会 对 它 持 有 保留 意见 ， 直 到 它 存在 了 多 年 而 没有 被 
破解 过 。 因 为 这 个 缘故 ， 并 且 因 为 它 也 是 最 近 才 被 及 明 的 ， 当 前 杜 鹏 乌 
周期 算法 还 没有 被 任何 加 密 数 字 货 币 所 采用 。 


实际 应 用 中 的 Scrypt 


Scrypt 被 许多 种 加 密 数 字 货 币 所 使 用 ， 包 括 莱 特 币 在 内 的 几 种 热门 
币 ， 结 果 好 坏 参半 。 针 对 莱特 币 Scrypt 算 法 参数 的 ASIC 已 经 存在 〈 然 后 


被 其 他 几 种 另类 币 所 复制 ) 。 令 人 惊讶 的 是 ， 相 较 于 大 众 电 脑 ， 这 些 

ASIC 在 算 力 上 的 提高 比 起 SHA-256 相 对 普通 电脑 的 提高 ， 至 少 旗 鼓 相当 
甚至 要 更 大 ! 所 以 ，Scrypt 最 终 还 是 无 法 反 ASIC， 至 少 在 莱特 币 上 是 如 
此 。 莱 特 币 的 设计 者 起 初 宣 称 反 ASIC 是 莱特 币 的 一 大 优势 。 但 现在 他 

们 已 经 收回 了 这 个 说 法 。 


这 可 能 是 莱特 币 所 用 的 数值 N〈 内 存 使 用 参数 ) 比较 低 所 造成 的 ， 
它 只 要 求 128KB 束 可 以 进行 计算 〈 如 果 使 用 时 间 内 存 互 换 的 模式 ， 可 能 
所 需要 的 内 存 更 低 ， 这 也 被 普遍 用 于 GPU 以 获得 更 快 的 缓存 ) 。 低 数值 
N 使 设计 一 个 不 需要 复杂 的 内 存 存储 总 线 的 轻 量 级 挖 矿 ASIC 变 得 很 容 
易 ， 通 常 这 种 复杂 的 总 线 是 读 取 十 亿 字 节 〈Gigabytes) 级 别 的 随机 存 取 
存储 器 所 需要 的 ， 而 这 些 通用 电脑 都 具备 。 莱 特 币 的 开发 者 没有 选择 一 
个 比较 高 的 内 存 参 数 〈 这 会 使 ASIC 更 加 难以 设计 ) ， 因 为 他 们 认为 高 
内 存 参 数 所 导致 的 高 成 本 的 校 验 过 程 是 不 太 现 实 的 。 


其 他 抵抗 ASIC 的 方法 


请 回忆 一 下 ， 我 们 的 初衷 是 想 让 可 以 大 幅度 提升 计算 性 能 的 ASIC 
的 开发 变 得 困难 。 刚 性 内 存 解 恋 只 是 其 中 一 个 方法 ， 还 有 其 他 方法 。 


遗憾 的 是 ， 其 他 的 方法 都 不 是 很 科学 ， 并 且 没 有 作为 刚性 内 存 函数 
而 被 设计 过 或 者 攻击 过 。 最 有 名 的 一 个 叫 作 X11， 其 实 就 是 把 11 个 不 同 
的 哈 希 函数 结合 在 一 起 ， 被 一 个 叫 作 “黑暗 币 ”(Dark Coin) 的 另类 币 所 用 
(后 面 这 个 另类 币 改 名 叫 DASH) ， 在 DASH 之 后 也 被 其 他 一 些 另 类 币 
所 使 用 。X11 的 目的 是 使 设计 一 个 有 效 的 ASIC 变 得 十 分 复杂 ， 因 为 所 有 
的 11 个 函数 的 计算 模块 都 要 在 芯片 上 被 实施 。 但 这 其 实 对 硬件 设计 者 来 
说 ， 也 不 过 是 一 个 小 小 的 不 方便 而 已 。 如 果 有 一 个 针对 X11 的 ASIC 诞 
生 ， 那 么 马上 会 废弃 掉 X11 的 CPU 和 GPU 挖 矿 。 


[| 


X11 的 哈 希 遂 数 出 自 何 处 ? 


从 2007 年 至 2012 年 ， 美 国 国 家 标准 委员 会 组 织 了 一 个 竞赛 ， 这 个 
竞赛 选取 新 的 哈 希 函数 家 族 来 作为 SHA-3 的 标准 ， 大 量 包 含 了 设计 文 
档 和 源 代 码 的 哈 希 函数 作为 候选 方案 被 提交 。 虽 然 有 很 多 候选 方案 在 
竞赛 中 被 证 实 并 不 符合 密码 学 安全 规范 ， 但 其 中 有 24 个 哈 希 函数 经 受 
住 了 所 有 已 知 的 密码 学 攻击 ，X11 选 择 了 其 中 的 11 种 ， 包 括 获得 最 终 
胜利 的 Keccak 三 


另外 被 提出 但 还 没有 被 实施 的 一 个 方法 是 使 用 一 个 移动 的 目标 值 来 
作为 挖 矿 解 谜 。 也 就 是 说 ， 解 恋 算 法 本 身 就 会 变化 ， 就 像 比特 币 里 的 难 
度 会 周期 性 地 改变 一 样 。 在 理想 的 状态 下 ， 为 上 一 个 解 谜 算法 而 被 优化 


过 的 挖 矿 便 件 ， 对 下 一 个 解 谜 算法 不 再 适用 。 我 们 不 是 很 清楚 要 多 久 改 
变 一 次 解 谜 算法 ， 才 能 达到 我 们 需要 的 安全 要 求 。 如 果 这 是 由 力 类 币 的 
开发 者 所 诀 定 的 ， 这 可 能 就 变 成 了 一 种 不 可 接受 的 中 心 化 来 源 。 比 如 ， 
开发 者 可 以 根据 他 们 已 经 开 发 出 来 的 一 种 硬件 《或 者 只 是 优化 过 的 
FPGA) ， 去 设计 一 个 相对 应 新 的 解 谈 算 法 ， 他 们 自然 就 有 了 针对 这 个 
新 算法 的 早期 优势 。 


或 许 这 些 解密 算法 的 顺序 能 够 被 自动 生成 ， 但 这 看 上 去 也 很 难 。 一 
个 想法 是 选择 一 大 扒 哈 希 函数 〈 比 如 24 个 没有 被 攻破 的 基于 SHA-3 的 算 
法 ) ， 然 后 每 个 用 上 6 个 月 到 一 年 ， 在 这 么 短 的 周期 里 很 难 开 发 新 的 硬 
件 。 当 然 如 果 这 个 顺序 安排 被 事先 知道 ， 相 应 的 硬件 设计 就 可 以 按照 函 
数 使 用 的 时 间 表 来 进行 。 


ASIC 的 蜜月 


目前 市 面 上 还 没有 针对 X11 的 ASIC 面 世 ， 即 便 都 清楚 这 种 芯片 的 生 
产 是 可 能 的 ， 这 种 现象 显示 了 可 能 很 有 用 的 规律 。 因 为 适用 X11 算法 的 
另类 币 的 市 值 都 不 高 ， 简 单 来 说 ， 还 没有 足够 的 市 场 价 值 吸 引 人 去 设计 
和 生产 针对 X11 的 ASIC。 一 般 来 说 ， 设 计 ASIC 的 前 期 投入 都 很 高 (不 
管 是 时 间 还 是 资金 )， 同 时 生产 单个 人 硬件 的 利润 相对 来 说 比较 低 。 因 
此 ， 对 于 新 的 还 没有 被 证 实 的 加 密 数 字 货 币 ， 是 不 值得 去 投资 研发 针对 
性 的 ASIC， 因 为 在 新 的 硬件 设备 可 用 之 前 这 个 货币 就 可 能 失败 了 。 即 
使 有 一 个 明显 的 市 场 需求 ， 也 会 有 硬件 研发 生产 到 出 货 的 延迟 。 第 一 批 
比特 币 的 ASIC 从 最 初 设计 到 最 终 出 货 花 了 近 一 年 时 间 ， 这 在 便 件 行业 
里 已 经 算是 很 快 了 。 


正 因为 如 此 ， 任 何 使 用 新 的 挖 矿 解 谜 算法 的 另类 币 都 会 经 历 一 个 
ASIC 密 月 期 ， 在 这 段 时 间 内 ， 用 GPU 和 FGPA 挖 矿 (或 许 CPU 挖 掘 ) 的 利 
润 会 比较 高 。 对 于 永久 阻止 ASIC 的 浪潮 不 太 可 能 ， 但 是 吸引 个 人 参与 
们 矿 〈 并 且 因 此 而 获得 新 币 ) 的 做 法 ， 在 新 币 还 处 于 步步为营 的 阶段 ， 
还 是 有 价值 的 。 


对 于 抵抗 ASIC 的 争论 


我 们 已 经 可 以 看 到 ， 从 长 远 来 讲 做 到 反 ASIC 是 不 太 可 能 的 。 但 是 
也 有 一 些 其 他 意见 ， 觉 得 从 已 经 被 证 明 的 SHA-256 解 谜 算法 转变 为 一 个 
密码 学 角度 偏 弱 的 新 解 恋 算法 ， 会 存在 一 定 的 风险 。 甚 者 ，SHA-256 的 
突入 ASIC 已 经 接近 当今 硬件 效能 的 极限 了 。 这 意味 着 ，ASIC 所 和 带 来 的 
指数 型 增长 可 能 结束 了 ， 之 后 SHA-256 挖 矿 也 会 因此 给 网 络 带 来 最 大 的 
稳定 性 。 


最 后 ， 还 有 一 种 意见 认为 ， 在 短期 内 反 ASIC 也 不 好 。 在 第 3 章 中 ， 


我 们 曾 探讨 过 即使 一 个 拥有 全 网 51% 算 力 的 矿工 ， 他 如 若 尝 试 做 出 很 多 
类 型 的 攻击 ， 也 并 不 理性 。 因 为 这 样 一 来 会 使 币值 汇率 骨 沉 ， 使 得 矿工 


在 挖 矿 设 备 上 的 巨额 投资 大 幅 减 值 ， 他 通过 挖掘 赚 来 的 比特 币 的 价值 也 
会 大 幅 下 降 。 


对 于 一 个 高 度 反 ASIC 的 解 谜 算法 ， 这 个 安全 性 的 说 辞 可 能 会 站 不 
住 脚 。 举 例 来 说 ， 一 个 攻击 者 可 能 会 暂时 租用 巨大 算 力 [比如 像 亚 马 逊 
(Amazon) 的 EC2 服 务 ]】 ， 用 它 来 攻击 ， 然 后 不 会 承受 任何 财务 上 的 损 
失 ， 因 为 他 们 不 需要 在 攻击 后 继续 租用 这 个 服务 。 相 比较 而 言 ， 对 于 一 
个 “对 ASIC 友 好 ”的 解 谜 算法 ， 攻 击 者 就 不 得 不 控制 一 大 堆 只 可 以 用 作 加 
密 货 币 控 矿 的 ASIC。 这 样 的 一 个 攻击 者 其 实 应 该 是 看 好 比特 币 未 来 的 
发 展 ， 做 了 一 个 最 大 限度 的 投资 。 按 照 这 个 逻辑 进行 推理 的 话 ， 为 了 最 
大 限度 地 保护 安全 ， 或 许 挖 矿 解 谜 算法 应 该 被 设计 成 不 仅仅 要 让 有 效 的 
挖 矿 ASIC 被 设计 生产 出 来 ， 更 应 该 让 那些 ASIC 除 了 用 于 加 密 货币 的 解 
谜 运算 之 外 ， 没 有 任何 其 他 用 途 ! 


1. 也 就 是 花费 更 多 去 提高 内 存 的 效能 ， 并 不 能 以 相同 比例 去 提高 解 谜 的 效能 。 
者 注 

2. Scrypt 是 由 著名 的 FreeBSD 黑 客 Colin Percival 为 他 的 备份 服务 Tarsnap 开 发 的 。Scrypt 不 
仅 计 算 所 需 时 间 长 ， 而 且 占 用 内 存 也 多 ， 使 得 并 行 计算 多 个 摘要 异常 困难 ， 因 此 利用 
rainbow table 进 行 暴力 攻击 更 加 困难 。Scrypt 没 有 在 生产 环境 中 大 规模 应 用 ， 并 且 缺 乏 仔 
细 的 审 察 和 广泛 的 函数 库 文 持 。 一 一 译 者 注 


3. j 是 奇数 时 ， 减 1 为 偶数 ， 我 们 存 的 是 有 偶数 的 值 的 。 一 一 译 者 注 
4. 有 关 分 叉 攻 击 的 内 容 ， 可 以 参见 本 书 第 5 章 。 一 一 译 者 注 
5. Keccak 算 法 为 SHA-3 的 一 种 加 密 标 准 。 译 者 注 。 


译 


8.3 有 效 工 作 量 证 明 


在 第 5 章 ， 我 们 讨论 了 比特 币 挖 矿 的 能 量 消耗 《有些 人 会 说 是 浪 
费 ) 是 个 潜在 问题 ， 经 济 学 家 称 之 为 负 外 部 性 。 我 们 估计 比特 币 挖 矿 要 
消耗 几 十 万 千瓦 的 电能 。 所 以 一 个 明显 的 问题 证， 这些 用 来 解 谜 运算 的 
工作 量 是 否 对 社会 有 所 贡献 ? 这 其 实 是 一 个 资源 再 生 循环 的 问题 ， 也 会 
增加 社会 对 加 密 数 字 贷 币 的 政策 支持。 当然， 这 个 解 谜 算法 也 必须 满足 
几 个 基本 的 要 求 ， 才 能 够 在 一 个 共识 协议 里 被 使 用 。 


以 前 的 分 布 式 计 算 项 目 


在 比特 币 诞生 好 多 年 之 前 ， 就 有 利用 空间 的 电脑 [或 者 叫 “ 空 闪 周 
期 * (spare cycle) ] 来 做 一 些 其 他 工作 的 想法 。 表 8.1 列 出 了 最 受 欢 迎 的 
几 个 志愿 者 运算 项 目 。 所 有 这 些 项 目 都 有 一 个 特性 ， 使 得 它们 适合 成 为 
解 谜 算法 的 运算 。 有 具体 来 说 ， 它 们 需要 解决 的 都 是 一 种 “大 海 搞 针 ? 型 的 
问题 ， 可 能 的 管 案 存在 于 一 个 非常 大 的 空间 (或 者 说 范围 ) ， 搜 索 空 间 
的 每 一 小 部 分 都 可 以 进行 并 行 的 快速 验证 。 最 有 名 的 例子 是 在 
SETIOhome 网 站 上 ， 志 愿 者 们 被 分 配 一 小 段 无 线 电信 号 ， 用 闲置 的 个 
人 电脑 来 分 析 这 段 信号 可 能 存在 的 模式 以 寻找 外 星 文 明 ， 同 时 分 布 式 计 
算 网 站 〈distributed.net) 的 志愿 者 被 分 配 一 小 段 可 能 的 私 钥 来 进行 验 
证 。\S 

志愿 者 运算 项 目 ， 成 功 地 把 一 个 很 大 的 计算 任务 拆 分 成 小 份 的 任 


务 ， 然 后 分 配给 每 一 个 志愿 者 进行 运算 检查 。 事 实 上 ， 这 种 模式 在 一 个 
特别 的 叫 作 伯克利 开放 式 网 络 计算 平台 (Berkeley Open Infrastructure for 


Network “Computing， 简 称 BOINC) 上 是 很 普遍 的 ， 这 个 平台 被 开发 出 
来 就 是 用 来 给 不 同 的 个 体 分 发 小 份额 计算 工作 的 。 


在 这 些 应 用 里 ， 志 愿 者 们 主要 都 是 被 解决 东 个 问题 的 兴趣 所 吸引 ， 
即使 这 些 项 目 通 常 也 会 设立 一 个 排行 榜 来 让 人 们 炫 光 他 们 所 页 献 的 算 
力 。 排 行 榜 也 导致 一 些 人 在 自己 的 工作 量 上 作 次 ， 有 一 些 被 报告 的 工作 
量 其 实 并 没有 实际 完成 ， 这 也 使 得 有 些 项 目 再 分 配 一 些 额外 的 工作 去 检 
碍 网 络 上 的 这 种 作 整 行为 。 金 钱 ， 是 加 密 数 字 货 币 分 布 式 计算 应 用 的 动 
力 ， 只 要 技术 上 是 可 能 的 ， 一 定 会 有 参与 者 尝试 去 作 浆 。 

表 8.1 热门 的 志愿 者 运算 项 目 


项 目 成 立时 间 目标 影响 
Great Internet 连续 12 次 发 现 最 大 的 质数 包括 


1996 年 ”找到 大 的 梅森 质数 257885161 _] 


Mersenne Prime Search 


密码 学 的 暴 玩 次 公 nb 展 4 
i 1997 年 密码 学 的 驳 力 破解 首次 公开 成 功 地 暴力 破解 了 6 


演示 位 的 密码 私 钥 
迄今 为 止 最 大 的 分 布 式 计算 项 
SETI@ home 1999 年 寻找 处 星 
下 目 ， 有 500 万 以 上 的 参与 者 
ee a 
i 2000 年 “蛋白质 折 秋 模拟 在 ”史上 最 大 算 力 的 志愿 者 运算 项 


原子 级 别 上 的 实现 ” 目 ， 超过 118 篇 科技 论文 被 发 表 


有 效 工作 量 证 明 的 挑战 


有 了 这 些 成 功 的 项 目 ， 我 们 可 以 尝试 简单 直接 地 利用 这 些 解 决 问题 
的 成 功 方法 。 例 如 ， 在 SETI@home 的 项 目 中 ， 志 愿 者 们 被 分 配 一 小 自 
无 线 电信 号 监听 去 寻找 外 星人 ， 我 们 可 以 判断 ， 外 星人 存在 的 概率 ， 要 
比 解 谜 算法 找到 “获胜 ”答案 并 且 多 许 找到 答案 的 矿工 去 创建 一 个 区 块 的 
概率 小 很 多 。 


但 这 个 想法 有 几 个 问题 。 首 先 ， 并 不 是 所 找到 的 答案 都 有 同样 的 概 
率 成 为 “获胜 ”的 答案 。 参 与 者 可 能 会 意识 到 有 特定 区 域 会 有 更 高 概率 找 
到 寞 类 ， 那 么 参与 者 就 会 有 倾 辐 性 ， 只 针对 一 些 能 产生 不 同 寻 营 结 果 的 
区 域 进行 分 析 。 对 于 一 个 中 心 化 的 项 目 来 说 ， 参 与 者 被 分 配 工 作 ， 所 以 
所 有 的 区 域 最 终 部会 被 分 析 当 然 对 最 有 和 希望 的 区 域 会 予以 优先 考 
量 ) 。 对 于 挖 矿 来 说 ， 任 何 矿工 可 以 随意 尝试 任何 区 块 ， 所 以 矿工 会 先 
涌 癌 最 有 希望 的 区 块 。 如 果 更 快 的 矿工 知道 他 们 可 以 先 笃 试 最 有 希望 的 
区 块 ， 这 束 意 味 着 解 文 算法 可 能 不 是 一 个 过 程 无 关 的 算法 。 比 特 币 的 解 
谜 算法 与 之 相 比 残 有 不 同 ， 比 特 币 的 解 谈 算 法 中 用 来 产生 一 个 有 效 区 块 
的 临时 随机 数 都 是 完全 平等 的 ， 所 以 所 有 矿工 都 会 随意 选择 一 个 临时 随 
机 数 去 尝试 。 这 个 问题 展示 了 我 们 之 前 都 已 经 习 以 为 第 的 比特 币 解 谈 算 
法 的 一 个 主要 特征 : 一 个 机 会 均等 的 解 谜 区域。 


其 次 ， 考 虑 到 SETI@home 项 目 中 存在 着 国定 的 数据 量 需 要 被 分 析 
的 问题 ， 这 些 数 据 基于 射电 望远镜 (radio telescope) 的 观察 。 随 着 挖 矿 
算 力 的 不 断 增 长 ， 有 可 能 某 一 天 就 没有 需要 加 工 的 数据 了 。 比 特 币 在 这 
方面 也 有 不 同 ， 比 特 币 算法 有 无 限 的 SHA-256 解 谜 可 以 被 创造 出 来 ， 这 
就 说 明了 男 一 个 重要 的 特征 需求 :水 不 顶 泗 的 解 谜 库 。 


最 后 ， 考 虑 到 SETI@home 的 项 目 中 ， 有 一 个 受信 任 的 中 心 化 的 管 
理 员 机 构 ， 负 责 发 现 新 的 无 线 电信 和 号 并 判断 志愿 者 们 应 该 研究 的 内 容 。 
同样 ， 由 于 我 们 使 用 解 谜 算法 来 构建 一 个 共识 机 制 算 法 ， 不 可 能 假设 一 
个 中 心 化 的 机 构 来 管理 所 有 的 解 谜 ， 这 样 我 们 就 需要 所 有 解 谜 的 最 后 一 
个 特征 : 通过 算法 目 动 生成 。 


哪 种 志愿 者 运算 项 目 可 能 适合 解 谜 算法 


回 到 表 8.1， 我 们 可 以 清楚 地 看 到 ， 像 SETI@home 和 Folding@home 
这 样 的 项 目 不 太 适合 去 中 心 化 的 共识 机 制 协议 ， 两 者 都 被 证 明了 缺乏 我 


们 所 列 出 的 上 述 三 个 特性 。distributed.net 上 的 暴力 破解 密码 学 项 目 可 能 

适用 ， 虽 然 它 们 通常 被 某 些 公司 用 来 做 某 种 加 密 算法 的 安全 评估 ， 但 是 
不 能 通过 算法 自动 生成 。 我 们 可 以 通过 算法 自动 生成 被 暴力 破解 的 加 密 
方法 ， 但 是 某 种 程度 上 这 就 是 SHA-256 不 完全 原 像 (partial preimage) 

算法 已 经 做 过 的 事 ， 并 且 它 没有 任何 有 益 的 功能 。 


那 就 只 剩 下 互联 网 梅森 质数 大 搜索 (Great Internet Mersenne Prime 
Search， 人 简称 GIMPS) 项 目 了 ， 这 个 最 具备 可 用 性 。 这 个 办 法 的 挑战 是 通 
过 算法 自动 生成 〈 找 到 下 一 个 比 当 前 最 大 质数 更 大 的 质数 ) ， 以 及 谜底 
空间 是 不 可 穷尽 的 。 事 实 上 ， 质 数 的 寻找 确实 是 无 穷 的 ， 因 为 质数 的 个 
数 已 经 被 证 明 是 无 限 个 的 〈 特 别 是 梅森 质数 是 无 限量 的 ) 。 


梅森 质数 方法 的 唯一 缺点 ， 是 需要 花费 很 长 的 时 间 来 寻找 梅森 质 
数 ， 并 且 梅 森 质 数 非常 罕见 ， 事 实 上 在 过 去 18 年 里 ， 梅 森 质 数 大 搜索 项 
目 一 共 才 发 现 了 14 个 梅森 质数 ， 显 然 在 区 块 链 上 每 年 才 增 加 不 足 一 个 区 
块 是 不 可 行 的 。 这 个 问题 看 起 来 是 缺乏 可 调节 的 难度 特性 ， 我 们 在 8.1 
节 讨 论 过 这 个 特性 是 非常 关键 的 。 无 论 如 何 ， 类 似 于 寻找 质数 这 样 的 解 
谜 算法 ， 看 起 来 是 可 行 的 。 


质数 币 


到 2015 年 为 止 ， 唯 一 在 实际 中 被 应 用 的 被 证 明 具 有 有 效 工 作 的 系统 
是 质数 币 〈Primecoin ) 。 质 数 币 的 主要 挑战 是 为 质数 找到 一 个 “ 欣 宁 安 
链 ”(Cunningham chain) 。 坎 宁 安 链 是 指 k 个 质数 的 序列 P1,P?,……,Pk， 
以 使 得 Pk=2Pi-1+1。 也 就 是 说 ， 你 选 一 个 质数 ， 然 后 把 这 个 质数 乘 以 2 
再 加 1 以 得 到 下 一 个 质数 ， 直 到 你 得 到 一 个 和 数 《〈 非 质数 ) 。 含 有 2,， 
5，11，23，47 束 是 一 个 长 度 为 5 的 坎 宁 安 链 ， 按 照 这 个 规则 所 获得 的 第 
六 个 数字 95 并 不 是 质数 (95 二 5x19)。 最 长 的 已 知 的 坎 宁 安 链 的 长 度 是 
19 (从 79，910，197，721，667，870，187，016，101 开 始 ) ， 有 一 个 


被 推测 以 及 被 广泛 认可 但 没有 被 证 明 过 的 理论 认为 ， 存 在 一 条 任意 的 长 
度 为 k 的 坎 宁 安 链 。 


现在 ， 要 把 这 个 理论 变 成 一 个 可 计算 的 解 谜 算法 ， 我 们 需要 三 个 关 
键 的 参数 mr、n 和 Kk， 稍 后 我 们 会 具体 解释 。 对 于 给 定 的 一 个 解 谜 挑战 
x《 上 一 个 区 块 的 哈 希 函数 值 ) ， 我 们 选择 x 上 的 前 m 位 数 。 我 们 可 以 认 
为 任何 长 度 为 k 的 链 或 者 大 于 k 的 答案 是 正确 的 ， 这 条 链 上 的 第 一 个 质数 
是 一 个 n 位 质数 并 且 和 x 一 样 有 m 位 的 首 段 数据 (nzm)。 值 得 注意 的 是 ， 
我 们 可 以 调整 和 k 的 值 ， 来 让 这 个 解 谈 变 得 更 加 困难 。 增 加 k 的 值 〈 需 
要 的 链 的 长 度 ) 使 得 问题 难度 指数 型 增长 ， 而 增加 n 的 值 ( 链 上 的 第 一 
个 质数 的 长 度 ) 使 得 问题 难度 线性 增长 ， 这 就 可 以 让 我 们 对 问题 难度 进 
行 微调 。 其 中 ，m 的 值 只 需要 足够 大 ， 使 得 在 知道 前 一 个 区 块 的 值 之 前 
的 预先 计算 方法 变 得 没有 意义 。 


其 他 我 们 所 讨论 的 属性 看 起 来 已 经 都 有 了 : 结果 可 以 很 快 被 校 验 ， 
问题 本 号 是 无 天 过 程 的 ， 题 库 可 以 无 限 大 《假设 对 质数 分 布 的 知名 数学 
推导 是 正确 的 ) ， 然 后 解 广 可 以 通过 算法 做 到 自动 生成 。 实 际 上 ， 这 个 
解 谜 算法 已 经 被 质数 币 用 了 两 年 ， 并 且 对 许多 给 定 的 k 值 产生 了 坎 宁 安 
链 里 最 大 的 质数 。 质 数 币 还 做 了 进一步 的 扩展 ， 在 其 工作 量 证 明 中 涵 瘟 
了 其 他 类 似 的 质数 链 ， 包 括 “ 第 二 ” 坎 宁 安 链 ， 其 中 Pi=2Pi-1。 


这 验证 了 在 茶 些 限定 的 情况 下 ， 有 效 工作 量 证 明 古 具有 实际 运用 
的 。 当 然 ， 寻 找 大 的 坎 宁 安 链 有 用 与 否 ， 是 有 争议 的 。 坎 宁 安 链 当然 也 
代表 了 我 们 已 知 数学 知识 宝库 的 一 小 部 分 ， 其 在 未 来 可 能 会 有 一 些 应 用 
场景 ， 但 在 目前 还 没有 实际 的 应 用 出 现 。 


水 信 币 和 存储 量 证 明 


另外 一 种 有 效 工 作 量 证 明 叫 存储 量 证 明 (proof of storage) ， 也 被 


称 为 可 恢复 性 证 明 (proof of retrievabitlity) 。 不 同 于 需要 一 个 单独 计算 
的 解 谜 算法 ， 我 们 可 以 设计 一 个 需要 存储 大 量 数据 被 运算 的 解 谜 算法 ， 
如 果 这 个 数据 是 有 用 的 ， 那 么 矿工 在 挖 矿 人 硬件 设备 上 的 投资 就 可 以 被 用 
于 大 范围 分 布 式 存储 和 归档 系统 。 


让 我 们 看 一 下 永久 币 (Permacoin) ， 这 是 第 一 个 用 于 共识 机 制 的 
存储 量 证 明 方 案 。 首 先 我 们 讨论 一 个 大 文件 FE， 我 们 假设 所 有 人 都 认可 下 
的 价值 并 且 这 个 文件 不 会 被 改变 。 例 如 ， 当 一 个 加 密 数 字 货 币 上 线 时 ， 
由 一 个 可 信任 的 分 发 者 选择 F， 这 有 点 类 似 于 任何 一 个 加 密 数 字 货 币 局 
动 时 都 需要 一 个 创 世 区 块 ， 理 想 状 况 下 这 个 文件 会 具备 公共 价值 。 例 
如 ， 大 型 强 子 碰撞 (Large Hadron Collider， 简 称 LHC) 的 实验 数据 ， 这 个 
数据 已 经 达到 了 几 百 拍 字 节 (petabytes， 用 PB 表示 〉 的 大 小 ， 对 这 些 数 
据 的 备份 是 很 有 价值 的 。 


当然 ， 因 为 F 存 储量 非常 巨大 ， 大 多 数 参与 者 都 无 法 对 整个 文件 进 
行 存储 ， 但 我 们 已 经 知道 ， 在 不 需要 了 解 整个 文件 的 情况 下 ， 如 何 使 用 
密码 学 里 的 哈 希 函数 来 确保 每 个 人 都 对 F 认 可 。 最 简单 的 方法 是 ， 每 个 
人 都 认可 HG), 但 更 好 的 方法 是 用 一 个 大 型 梅 苑 尔 树 来 代表 FE， 上 所 有 的 参 
与 者 都 认可 梅 殉 尔 树 的 根 值 。 现 在 ， 每 个 人 都 认可 F 的 价值 ， 证 明 F 的 任 
意 一 部 分 是 正确 的 就 变 得 很 有 效率 。 


在 永久 币 系 统 中 ， 每 一 个 矿工 M 存 储 着 任意 F 文 件 的 子 集 FM CF。 
为 了 实现 这 一 点 ， 当 矿工 产生 一 个 公 钥 KM 来 接受 资金 时 候 ， 他 们 就 对 
该 公 钥 进行 哈 希 运算 以 生成 一 个 区 块 FM 的 虚拟 随机 数 集 ， 他 们 必须 存 
储 这 个 数 集 以 实现 挖 矿 的 目的 。 这 个 子 集 就 会 变 成 某 个 固定 数量 的 区 块 
k1 的 一 部 分 ， 我 们 必须 在 这 里 做 一 个 假设 ， 当 矿工 开始 挖 矿 的 时 候 ， 他 
们 有 办 法 获得 这 些 区 块 一 一 可 能 是 从 一 个 标准 文件 源 地 址 下 载 下 来 〈 见 
图 8.2) 。 


[Fr 中 的 区 块 
: 国 FV 中 的 区 块 : F 的 根 


图 8. 2 在 永久 币 系统 中 选择 一 个 文件 的 随机 区 块 
注 : 在 这 个 案例 中 ，k1=6，k2=2。 在 实际 应 用 中 ， 这 些 参数 会 大 很 多 。 


一 旦 矿工 在 本 地 存储 了 FM， 这 个 解 谜 算法 就 非常 类 似 于 传统 的 
SHA-256 挖 矿 了 。 给 定 前 一 个 区 块 的 哈 希 值 xz 时 ， 上 外 工 选择 一 个 临时 随 
机 数 n"， 将 其 进行 哈 希 运算 并 产生 一 个 虚拟 随机 数 子 集 FMn CFM， 这 
个 子 集 包含 了 k2<k1 个 区 块 。 值 得 注意 的 是 ， 这 个 子 集 是 由 所 选 的 临时 
随机 数 和 矿工 的 公 钥 共同 产生 的 。 最 后 ， 人 矿工 对 n 以 及 Fk 中 的 区 块 ， 进 
行 SHA-256 的 哈 希 函数 运算 ， 如 果 计 算 的 结果 是 低 于 目标 难度 的 ， 那 么 
也 惑 意味 着 他 们 找到 了 一 个 有 效 的 方案 。 


校 验 一 个 解 谜 算法 的 结果 需要 以 下 几 个 步 又: 


图 校 验 FM n 是 由 矿工 的 公 钥 KW 和 临时 随机 数 n 共 同 产生 的 。 


@ 通过 检验 其 在 梅 克 尔 树 节 点 到 全 局 统一 的 树 根 路 径 ， 来 检验 
FM n 中 的 每 一 个 区 块 是 正确 的 。 


@ 校 验 H(FM n||n) 的 值 比 目 标 难度 要 小 。 


我 们 很 容易 看 出 ， 为 什么 解 谜 过 程 需要 矿工 在 本 地 存储 所 有 的 
FMn。 对 于 每 一 个 临时 随机 数 ， 矿 工 都 需要 计算 FMn 中 随机 子 集 的 哈 
希 值 ， 如 果 通 过 远程 访问 一 个 存储 空间 来 获取 文件 ， 就 会 非常 慢 ， 几 笠 
不 可 能 实行 。 


不 同 于 Scrypt 算 法 的 案例 ， 如 果 k? 足 够 大 ， 并 没有 一 种 可 行 的 类 似 
于 时 间 内 存 的 权衡 方案 。 如 采矿 工 仅仅 在 本 地 存储 了 一 半 的 FM， 并 且 
k2=20， 那 么 在 他 们 找到 一 个 不 需要 从 网 络 中 取 回 任何 文件 区 块 的 临时 
随机 数 之 前 ， 他 们 必须 要 尝试 100 万 次 ， 降 低 一 定量 的 存储 负担 会 以 计 
算 量 指 数 型 增长 为 代价 。 当 然 ， 由 于 k2 梅 克 尔 树 路 径 要 在 所 有 的 路 径 中 
被 传输 和 校 验 ， 如 宋 k? 设 得 太 大 ， 也 会 使 运算 变 得 非常 低 效 。 


ki1 的 设 定 也 可 以 有 所 权衡 。 更 小 的 k1 意 味 着 矿工 需要 更 少 的 本 地 存 
储 空间 ， 因 此 这 种 挖 矿 就 更 加 民主 化 (更 多 的 人 可 以 参与 )。 然 而 ， 这 
也 意味 着 ， 大 量 的 矿工 即使 有 能 力 提 供 更 大 的 存储 空间 ， 他 们 也 没有 动 
力 去 存储 多 于 k1 个 F 区 块 。 


同样 ， 这 是 一 个 对 完整 的 永久 币 做 了 细微 简化 的 方案 ， 但 是 对 我 们 
理解 整个 设计 的 关键 部 分 来 说 是 足够 的 了 。 最 大 的 应 用 挑 成， 当然 是 找 
到 一 个 合适 的 大 文件 ， 这 个 文件 要 有 一 定 的 重要 意义 ， 同 时 也 是 公共 
的 ， 需 要 保存 多 个 备份 。 如 果 F 文 件 本 和 号 随 着 时 间 的 推移 会 发 生变 化 ， 
或 者 随 独 时 间 的 变化 而 调整 难度 ， 这 样 会 使 方案 变 得 更 加 复杂 。 


长 期 的 挑战 和 经 六 总》 


总 结 一 下 本 节 内 容 ， 有 效 工 作 量 证 明 是 一 个 非常 自然 的 目标 。 考 虑 
到 一 个 好 的 共识 机 制 所 需要 的 其 他 解 谜 算法 ， 实 行 起 来 也 有 相当 大 的 挑 
战 。 即 使 如 此 ， 至 少 本 文 所 举 的 两 个 案例 一 一 质数 币 和 永久 币 一 一 在 技 
术 上 是 可 行 的， 虽然 它们 也 都 有 一 些 技术 方面 的 缺陷 《主要 都 是 需要 更 
长 的 时 间 去 验证 解 谜 结 末 ) 。 此 外 ， 对 比 在 比特 币 挖 矿 中 动 辑 数 百 万 美 
元 的 投入 以 及 大 量 电力 的 消耗 ， 这 两 种 加 蜜 数字 货币 的 应 用 都 对 社会 公 


荔 有 一 些 页 献 。 


有 效 工 作 量 证 明 是 人 否 应 该 是 纯 公 益 的 ， 有 一 个 有 趣 的 经 济 学 方面 的 


争议。 在 经 济 学 中 ， 公 益 的 意思 是 非 排 他 性 的 ， 也 就 是 说 所 有 人 都 可 以 
参与 使 用 ， 并 且 是 非 范 搜 性 的 ， 对 公 敬 的 其 他 用 途 不 应 该 影响 其 本 里 的 
价值 。 一 个 经 典 的 例子 束 是 灯塔 。 


我 们 这 里 所 讨论 的 案例 ， 比 如 蛋白 质 折 铸 (protein folding) 三， 就 
不 是 一 个 纯 公 益 的 项 目 ， 因 为 有 一 些 公司 《〈 比 如 大 的 制药 公司 ) 可 以 从 
中 获 利 。 实 质 上 ， 这 些 机 构 挖 矿 的 成 本 会 相对 变 低 ， 因 为 它们 可 以 获取 
其 他 人 无 法 获得 的 额外 利益 。 


1. 大 约 有 500 万 人 参加 这 个 计划 ， 包 括 译 者 本 人 。 一 一 译 者 注 
2 蛋白 质 折 车 问题 被 列 为 21 世纪 的 生物 物理 学 ”的 重要 课题 ， 它 是 分 子 生 物 学 中 心 法 则 
尚未 解决 的 一 个 重大 生物 学 问题 。 一 一 译 者 注 


8.4 不 能 外 包 的 解 谈 算 法 


我 们 现在 再 看 一 下 对 于 丛 代 挖 矿 解 恋 的 另 一 个 设计 重点 : 防止 矿 池 
的 产生 。 我 们 在 移 前 的 第 5 章 里 谈 到 ， 大 部 分 的 比特 币 矿工 都 会 加 入 一 
个 矿 池 ， 而 不 是 独立 挖 矿 。 这 就 造成 了 少量 矿 池 拥有 绝 大 部 分 挖 矿 算 力 
的 现象 。 由 于 每 个 矿 池 都 有 一 个 中 心 化 的 管理 方 ， 有 些 人 担心 这 其 实 违 
反 了 比特 币 去 中 心 化 的 核心 设计 原则 ， 会 危害 到 比特 币 的 安全 性 。 


拥有 大 部 分 算 力 的 矿 池 显 然 是 一 个 问题 ， 任 何 一 个 中 心 化 管理 的 矿 
闻 可 能 会 实施 一 套 自 定义 的 挖 矿 策略 ， 然 后 用 它 来 攻击 网 络 。 这 种 矿 池 
也 是 黑客 们 攻击 的 目标 ， 因 为 通过 攻击 矿 池 可 以 迅速 地 控制 大 量 的 挖 矿 
算 力 。 夏 凶 管 理 员 也 可 能 会 删改 交易 或 是 强迫 收取 更 高 的 交易 费 。 丰 池 
中 拥有 大 多 数 矿工 ， 意 味 着 大 部 分 矿工 都 没有 运行 一 个 完全 有 效 节 反 。 


有 意思 的 是 ， 这 些 担忧 有 着 现 实 世界 的 影子 ， 比 如 选票 。 在 美国 和 
其 他 许多 国家 ， 出 售 选 票 是 非法 的 。 加 入 一 个 被 一 方 控制 的 矿 池 ， 和 在 
比特 币 的 共识 协议 里 出 售 你 的 选票 有 点 类 似 。 


下 池 的 拉 术 要 求 


回忆 起 来 ， 矿 池 看 起 来 是 一 个 突然 发 生 的 现象 。 并 没有 证 据 显示 ， 
中 本 联 在 比特 币 的 最 初 设计 中 考虑 过 矿 池 的 概念 。 在 互相 不 信任 的 个 体 
之 间 运 行 一 个 有 效率 的 矿 池 ， 这 样 的 事情 在 最 初 的 几 年 里 看 起 来 不 太 现 
实 。 


正如 我 们 在 第 5 半 所 看 到 的 ， 矿 池 通 常会 指定 一 个 管理 员 ， 他 有 一 


个 大 家 都 知道 的 公 钥 。 每 一 个 加 入 的 矿工 还 是 按照 往常 一 样 进行 挖 矿 ， 
然后 递 区 “近似 ?或 者 “部 分 ”答案 给 夏季 管理 员 ， 这 些 答案 在 低级 别 难 度 
的 时 候 可 能 就 是 一 个 有 效 答 案 ， 通 过 这 种 做 法 来 证 明 他 们 做 了 多 少 工作 
量 。 当 矿 池 中 的 茶 一 个 参与 者 找到 了 一 个 有 效 区 块 的 时 候 ， 这 个 管理 员 
会 按照 每 个 人 所 提交 的 工作 量 的 占 比 来 分 配 奖励 。 虽 然 有 很 多 种 不 同 的 
分 配方 式 ， 但 是 所 有 矿 池 都 遵循 这 个 基本 模式 。 


正 因为 如 此 ， 矿 池 的 存在 依赖 于 比特 币 的 两 大 技术 特征 。 第 一 ， 一 
个 矿工 很 容易 通过 提交 工分 来 证 明 〈 概 率 上 ) 他 所 做 的 工作 量 。 不 管 实 
际 上 找到 一 个 有 效 区 块 是 多 么 困难 ， 通 过 设 定 一 个 足够 低 的 合格 工分 的 
临界 值 ， 矿 工 可 以 容易 地 证 明 他 们 在 任意 精度 的 工作 量 。 考 虑 到 我 们 需 
要 解 谜 题目 可 以 在 任意 难度 上 被 创造 出 来 ， 这 个 问题 看 起 来 很 难 改变 。 


第 二 ， 矿 池 成 员 可 以 容易 地 向 管理 员 证 明 ， 他 们 遵守 规则 并 且 通 过 
实际 运算 来 寻找 有 效 区 块 ， 然 后 矿 池 会 作为 一 个 整体 接受 奖励 。 这 是 行 
得 通 的 ， 因 为 这 个 矿 池 的 公 钥 是 被 写 进 币 基 交 易 ， 并 包括 在 区 块 里 的 梅 
殉 尔 树 上 。 即 使 一 个 矿工 找到 了 一 个 有 效 区 块 ， 其 至 只 是 一 个 近似 区 块 
《也 叫 工分 ) ， 他 也 无 法 改变 整个 矿 池 的 公 铀 ， 而 成 为 新 铸币 的 接受 
者 。 


“区 块 丢 弃 ” 攻 击 (block-discarding attack ) 


矿 池 的 这 种 设计 有 一 个 弱点 : 没有 办 法 来 确保 矿工 在 找到 有 效 区 块 
的 时 候 一 定 会 提交 给 管理 员 。 假 设 有 一 个 矿 池 成 员 对 一 个 大 型 矿 池 不 
满 ， 他 可 以 正常 地 参与 挖 矿 然后 所 交工 分 ， 但 他 在 找到 一 个 有 效 区 块 
(可 以 让 整个 矿 池 获得 奖励 ) 的 时 候 ， 并 没有 告诉 窟 理 员 而 是 直接 把 它 
丢弃 挥 。 


这 个 攻击 降低 了 整个 矿 池 的 挖 矿 能 力 ， 因 为 攻击 者 的 工作 量 并 没有 


实际 页 献 到 挖 矿 中 去 。 但 是 这 个 矿工 依然 会 收 到 奖励 ， 因 为 他 看 起 来 也 
在 不 断 地 提交 工分 ， 只 是 运气 不 好 没有 找到 有 效 的 区 块 。 如 果 这 个 矿 池 
的 奖励 设计 方案 是 收入 中 性 的 (也 就 是 所 有 的 挖 矿 奖 励 部 被 分 发 到 每 个 
参与 者 ) ， 那 样 的 话 这 个 攻击 会 让 这 个 矿 池 亏损 。 


这 种 攻击 被 称 作 民间 攻击 或 者 是 蓄意 破坏 攻击 ， 这 也 被 认为 是 一 种 
蓄意 破坏 ， 因 为 这 个 攻击 看 上 去 对 攻击 者 和 丰 池 都 是 不 经 济 的 、 代 价 不 
非 的 。 这 个 攻击 者 本 映 也 会 遭受 损失 ， 因 为 他 所 丢弃 的 有 效 区 块 将 会 使 
他 放弃 他 应 该 有 的 一 部 分 奖励 回报 。 当 然 ， 这 个 攻击 者 还 是 会 由 于 其 他 
一 些 挖 矿 解 密 算 法 而 获 利 。 


看 起 来 一 个 理性 的 矿工 不 会 采用 这 种 策略 ， 因 为 他 会 有 所 损失 而 不 
会 得 到 任何 实际 的 回报 。 但 ( 令 人 和 慰 讶 的 是 ) 在 茶 些 情况 下 ， 这 个 策略 


是 可 以 有 利 可 图 的 ， 我 们 在 下 文 有 所 讨论 。 但 古 无 论 如 何 ， 我 们 想 要 设 
计 一 个 全 新 的 控 矿 解 谜 算法 ， 以 确保 这 种 策略 永远 都 是 有 利 可 图 的 《以 
抵抗 矿 池 的 存在 〉。 


矿 池 之 间 的 区 块 丢弃 攻击 


好 多 年 以 来 ， 人 们 都 觉得 进行 区 块 丢弃 攻击 是 无 利 可 图 的 ， 实 际 
上 如 果 两 个 矿 池 之 间 的 互相 攻击 却 不 一 样 。 这 种 方案 已 经 被 提出 来 好 
多 次 ， 伊 泰 : 艾 瑞 尔 (Ittay Eyal) 2015 年 的 论文 中 首次 深入 分 析 了 这 种 
攻击 模式 。 


我 们 考虑 一 个 简单 的 案例 : 假设 两 个 矿 池 A 和 B， 每 个 有 50% 的 全 
部 挖 矿 算 力 。 现 在 假设 B 动 用 了 一 半 的 能 力 〈25% 的 总 体 算 力 ) 来 加 
入 矿 池 A 挖 矿 ， 然 后 把 所 有 找到 的 有 效 区 块 丢弃 掉 。 我 们 可 以 推演 ， 
在 一 个 简单 的 模型 里 ，B 会 赢得 5/9 的 所 有 奖励 ， 大 于 他 正常 挖 矿 时 候 
所 获得 的 50% 的 奖励 。 在 这 个 简单 的 案例 里 ， 动 用 一 半 的 挖 矿 算 力 去 


攻击 矿 池 A 对 矿 池 B 来 说 是 一 个 最 佳 的 集 略 。 
这 个 采 例 随 着 矿 池 数 量 的 增加 而 变 得 更 加 复杂 。 截 至 本 书 撰写 之 
时 ， 丢 莽 区 块 攻击 在 实际 中 还 没有 被 大 范围 观察 到 。 但 长 期 来 看 可 能 


性 还 是 存在 的 ， 像 这 类 攻击 会 对 大 型 矿 池 的 运营 产生 关键 影响 。 


奖励 破坏 


我 们 设计 这 种 攻击 的 目的 ， 是 让 矿工 们 即使 加 入 了 一 个 矿 池 挖 矿 ， 
也 会 缺乏 同人 矿 池 管理 员 提 交 有 效 区 块 的 动力 。 目 前 ， 只 有 人 矿 池 管理 员 可 
以 获取 挖 矿 奖励 ， 因 为 定理 员 要 求 所 有 的 参与 者 在 他 们 挖 矿 的 币 基 交易 
中 加 入 一 把 特殊 的 公 钥 。 这 个 公 钥 是 否 被 正确 地 放 入 ， 可 以 在 提交 近似 
区 块 的 时 候补 很 容易 地 检查 验证 。 夏 池 管 理 员 是 唯一 知道 私 钥 的 人 ， 因 
此 可 以 决定 新 铸币 的 走 同 。 


但 如 采 我 们 要 求 所 有 的 参与 者 都 知道 私 铀 〈 这 样 一 来 ， 当 找到 有 效 
区 块 的 时 候 大 家 都 可 以 重新 定义 区 块 奖励 的 去 同 ) 呢 ? 为 了 做 到 这 一 
扩 ， 我 们 需要 一 个 解 谈 算 法 ， 每 一 个 解 主 运 算 的 尝试 都 要 求知 道 币 基 交 
易 里 的 私 铀 。 我 们 可 以 把 解 谜 从 “找到 一 个 区 块 ， 其 哈 希 值 低 于 一 个 特 
定 的 目标 ? 改 成 "找到 一 个 区 块 ， 这 个 区 块 里 的 数字 签名 的 哈 希 值 低 于 一 
个 特定 的 目标 ”。 这 个 数字 签名 必须 要 用 币 基 交易 里 同一 把 公 钥 来 计 
算 。 


这 样 的 解 谜 算法 ， 会 给 矿 池 管理 员 两 个 都 不 可 靠 的 选择 : 他 们 可 以 
把 私 钥 分 发 给 所 有 成 员 ， 如 此 ， 他 们 之 中 任何 一 人 都 可 以 私 目 挪用 全 部 
矿 池 资 金 。 力 外 一 个 办 法 是 他 们 可 以 代表 矿 池 成 员 进行 签名 。 计 算 一 个 
签名 的 计算 量 比 计算 一 个 蛤 希 函 数 要 大 许多 ， 这 样 一 来 ， 矿 池 管 理 员 会 
承担 主要 的 昔 活 与 累 活 ， 所 以 最 好 让 矿 池 管 理 员 成 为 一 个 独立 的 矿工 。 


不 能 锐 外 包 的 挖 矿 的 优 务 


由 于 这 类 解 谜 算法 不 能 够 有 效 地 〈 并 不 是 完全 不 可 能 ) 被 外 包 到 一 
个 不 能 被 信任 的 参与 者 ， 这 就 使 得 成 立 一 个 由 不 被 信任 的 参与 者 所 组 成 
的 矿 池 变 得 十 分 困难 。 它 可 以 有 效 地 阻止 所 有 的 矿 池 形成 ， 即 便 是 像 
P2Pool 这 样 成 立 一 个 没有 矿 池 管理 员 的 去 中 心 化 矿 池 。 


存在 如 下 和 争议， 部 壮 这 类 解 文 算法 可 能 会 不 可 抑制 地 造成 更 多 的 中 
心 化 ， 而 不 是 更 少 。 因 为 概率 上 较 高 幅度 波动 〈 找 到 有 效 区 块 而 获得 奖 
励 的 概率 问题 ) 会 让 小 矿工 们 不 敢 参 与 挖 矿 ， 剩 下 的 只 会 是 大 型 控 矿 团 
队 。 目 前 ， 虽 然 矿 池 表 面 上 控制 了 大 量 的 挖 矿 算 力 ， 但 还 是 不 清楚 如 果 
他 们 想 利 用 这 个 优势 来 发 起 攻击 的 话 ， 其 中 许多 成 员 是 否 会 叛逃 。 大 型 
分 人 矿 矿 池 和 可 以 承受 高 幅度 收入 波动 的 小 矿 池 ， 到 底 哪 个 风险 更 大 ? 这 
古 一 个 未 能 解决 的 问题 。 


设计 一 个 共识 协议 ， 理 想 方 案 是 小 额度 地 奖励 每 个 找到 低 等 难度 解 
谜 答案 的 人 矿工， 以 “ 目 然 地 ?降低 概率 疲 动 风 险 。 这 就 意味 着 矿工 们 不 需 
要 组 成 矿 池 ， 同 时 小 矿工 们 还 可 以 参与 挖 矿 获 利 。 仅 仅 降低 每 个 区 块 产 
生 之 间 的 时 间 间 隔 不 会 起 到 作用 一 一 它 需 要 被 降低 1 000 倍 或 者 更 多 ， 
才能 够 在 概率 风险 上 与 大 型 挖 矿 矿 池 所 面临 的 情况 相当 。 但 到 那个 时 
候 ， 每 个 区 块 之 间 的 间隔 只 有 不 到 一 秒 ， 陈 旧 区 块 的 数量 会 变 得 不 可 控 
制 的 高 。 还 有 一 个 问题 ， 是 否 存在 男 一 种 共识 协议 ， 可 以 做 到 在 不 需要 
瞬时 三 播 所 有 人 解 谜 结 末 的 情况 下 ， 让 解 谜 运算 变 得 更 加 容易 ? 


8.5 权 共 证 明和 虚拟 挖 矿 


在 结束 本 章 之 前 ， 我 们 讨论 一 下 这 个 想法 : 用 虚拟 控 矿 (virtual 
mining) 来 蔡 代 计算 力 挖 矿 。 虚 拟 挖 矿 是 指 一 组 不 同 的 控 矿 方法 但 它们 
都 有 一 个 共同 的 特点 一 一 对 参与 的 矿工 只 要 求 少量 的 计算 资源 。 


建立 一 个 封闭 挖 矿 系统 


作为 一 个 思想 实验 ， 假 设 比特 币 或 是 其 他 加 密 数 字 货 币 成 为 全 球 主 
要 文 付 手段 。 矿 工 起初 会 拥有 一 些 加 密 数 字 货 币 来 购买 挖 矿 设备 和 支付 
电 耗 ， 以 此 获取 一 些 新 币 来 作为 挖 矿 的 奖励 ( 见 图 8.3)〉 。 这 基本 上 是 


个 消耗 资源 的 过 程 。 
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图 8.3 比特 币 挖 矿 的 资源 循环 


一 旦 挖 矿 设备 变 成 了 一 种 商品 ， 并 且 电 力也 是 一 种 商品 (本 来 就 
是 ) ， 没 有 矿工 有 任何 优势 可 以 更 有 效 地 把 他 们 起 初 拥有 的 加 密 数 字 货 
币 转 化 成 挖 矿 奖励 。 除 非 有 细微 的 效能 差距 ， 挖 矿 投入 最 多 的 矿工 将 会 
获得 最 大 的 挖 矿 奖励 。 


推动 虚拟 挖 矿 的 基本 问题 是 : 如 果 我 们 把 控 矿 设备 和 能 耗 这 一 环节 


省 去 ， 会 产生 什么 结果 ? 毕竟， 这 个 过 程 主要 是 用 来 证 明 谁 在 挖 矿 这 件 
事情 上 投入 最 多 。 为 什么 不 简单 地 把 挖 矿 “ 算 力 ” 按 比例 分 配给 当前 所 有 
的 持 币 人 ? 


回忆 一 下 比特 币 控 矿 的 初 囊 是 在 区 块 链 上 建立 起 一 个 投票 机 制 ， 有 
更 多 算 力 的 矿工 会 得 到 更 多 的 投票 权力 。 因 此 ， 我 们 可 以 设计 一 个 “ 投 
票 " 系 统 ， 选 票 〈 投 票 权 力 ) 是 由 每 个 人 所 拥有 的 当前 币 量 所 决定 的 。 


蜡 拟 挖 矿 的 优势 


这 个 方法 的 优势 是 显而易见 的 : 它 把 如 图 8.3 中 右边 浪费 资源 的 一 
半 去 掉 了 ， 留 下 了 一 个 封 朵 的 系统 ， 如 图 8.4 所 示 。 


挖 矿 奖励 


比特 币 网 络 。 ”虚拟 挖 矿 挖 矿 机 
图 8.4 虚拟 挖 矿 的 资源 循环 
除了 简单 化 之 外 ， 这 个 方法 会 大 大 减少 比特 币 对 环境 的 影响 。 它 不 
会 把 能 耗 降 到 零 ， 因 为 矿工 总 是 会 消耗 一 些 计算 资源 来 和 网 络 通 信 验 
证 ， 有 一 些 虚 拟 挖 矿 方案 也 要 求 少量 的 挖 矿 计算 力 。 但 总 体 上 ， 比 特 币 
里 绝 大 部 分 的 挖 矿工 作 量 可 以 被 省 去 。 


虚拟 挖 矿 还 可 以 阻止 中 心 化 的 及 展 趋势 。 因 为 没有 人 硬件 ， 所 以 也 不 


必 担 忧 有 ASIC 的 问题 。 每 一 个 矿工 挖 矿 的 效率 都 和 其 他 人 完全 一 样 。 
任何 虚拟 矿 机 所 用 的 解 谜 算法 都 是 反 ASIC 的 。 


可 能 是 虚拟 挖 矿 最 重要 的 一 点 。 虚 拟 挖 矿 可 能 解决 了 我 们 在 讨论 
ee 也 就 是 考虑 到 货币 的 长 期 健康 ， 
矿工 可 能 不 会 去 投资 挖 矿 设备 的 生产 。 任 何 一 个 比特 币 的 持 有 人 其 实 也 
是 这 个 货币 的 利益 相关 者 ， 一 个 强大 的 虚拟 矿工 (比如 持 有 51% 或 更 多 
的 币 ) 是 一 个 非常 大 的 利益 相关 者 。 他 们 有 原动力 来 做 对 整个 系统 有 利 
的 事 ， 因 为 这 样 一 来 他 们 所 持 有 的 币 也 会 增值 。 这 比 “ 矿 工 已 经 投入 了 
大 量 的 挖 矿 设 备 ， 且 设备 价值 会 基于 未 来 的 币值 ， 所 以 没有 人 会 进行 恶 
意 行为 ”的 说 法 更 有 力 。 

这 就 是 “权益 证 明 ” 这 个 名 字 的 来 源 。 除 了 节省 挖 矿 设备 和 节省 能 


之 外 ， 可 能 虚拟 控 矿 的 最 大 动力 ， 来 自 这 个 货币 的 利益 ， 
的 意愿 成 为 这 个 系统 的 维护 者 。 


实施 虚拟 挖 矿 : 点 点 币 


有 许多 种 不 同 的 虚拟 挖 矿 ， 我 们 在 这 里 只 讨论 最 常见 的 儿 种 。 我 们 
要 强调 的 是 ， 这 些 想法 还 没有 被 严格 地 用 科学 的 方法 研究 过 ， 也 没有 像 
比特 币 的 工作 量 证 明 一 样 因为 比特 币 的 普遍 性 而 经 过 实战 洗礼 。 


我 们 先 看 一 下 在 2012 年 启动 的 点 点 币 〈Peercoin ) ， 是 第 一 个 使 用 
权益 证 明 的 另类 币 。 点 点 币 是 工作 量 证 明 与 权益 证 明 的 一 种 混合 
体 , “拥有 量 ” 以 * 币 龄 ”为 计价 单位 。 一 个 特定 的 还 没有 被 使 用 交易 的 输 
出 的 币 龄 ， 是 “这 个 输出 里 的 币 量 ”与 “这 个 输出 里 还 没有 被 使 用 过 的 区 
块 数量 ”的 乘积 。 现 在 ， 为 了 挖 到 一 个 区 块 ， 点 点 币 的 矿工 也 必须 像 比 
特 币 的 矿工 一 ee 但 是 ， 这 个 解 谜 运算 
的 难度 会 随 痢 他 们 想 消 耗 多 少 币 龄 调整 ， 消 耗 越 少 难度 惑 越 低 。 为 了 做 


到 这 一 点 ， 这 个 区 块 包括 一 个 特殊 的 “ 币 拥 有 量 交 易 ”(coinstake 
transaction) ， 在 这 个 交易 里 ， 有 些 交 易 被 用 掉 只 是 为 了 把 它们 的 币 龄 
重 设 成 零 。 这 些 在 币 拥 有 量 交 易 中 被 消耗 的 币 龄 上 总和， 决定 了 工作 量 证 
明 解 谜 运算 中 发 现 一 个 有 效 区 块 的 难度 。 


矿工 可 以 在 最 初 用 很 大 的 计算 力 和 一 些 很 少 的 拥有 量 来 挖 矿 ， 但 是 
可 以 用 公式 来 设 定 难度 : 当 一 些 币 龄 被 消耗 后 ， 找 到 有 效 区 块 会 变 得 十 
分 容易 。 这 个 运算 型 解 谈 的 效果 主要 是 为 了 保证 ， 在 有 两 个 矿工 尝试 消 
耗 同 样 大 小 币 龄 的 情形 下 ， 这 个 过 程 仍然 是 随机 的 。 


许多 其 他 的 虚拟 控 矿 另类 币 方案 使 用 了 略微 不 同 的 设计 ， 包 括 
NxT、BitShares、BlackCoin 和 Reddcoin。 在 这 些 设计 方案 里 ， 一 定数 量 
的 币 被 消耗 用 于 使 运算 型 解 谜 变 得 极为 简单 ， 这 使 得 解 谜 运算 不 再 是 控 
矿 过 程 中 最 主要 的 挑战 。 


权益 的 其 他 形式 


有 两 种 混合 模式 值得 探讨 : 


e 权益 证 明 。 最 简单 的 权益 证 明 模式 是 使 那些 拥有 大 量 币 控制 
权 的 矿工 挖 矿 更 加 容易 。 这 类 似 于 点 点 币 的 币 量 和 币 龄 混合 证 明 ， 
只 是 在 这 个 模式 中 不 考虑 币 龄 。 这 个 模式 的 劣 处 是 ， 不 像 点 点 币 那 
样 每 次 成 功 获得 有 效 区 块 之 后 重 置 币 龄 ， 最 有 钱 的 参与 者 总 是 可 以 
最 容易 地 挖 矿 。 

e 储量 证 明 。 在 这 个 模式 里 ， 当 一 个 矿工 用 一 些 货币 来 铸造 一 
个 区 块 的 时 候 ， 这 些 货币 针对 一 定数 量 的 区 块 被 冻结 。 这 可 以 被 想 
象 成 币 龄 的 一 个 镜像 : 这 个 系统 奖励 那些 希望 在 未 来 一 段 时 间 不 消 
费 的 矿工 ， 而 不 是 那些 在 过 去 一 段 时 间 内 不 使 用 贷 币 的 矿工 。 在 上 
述 两 种 情况 下 ， 厂 工 的 收入 来 自 因为 不 能 使 用 货币 去 做 其 他 事情 的 


无 利害 关系 问题 


虚拟 挖 矿 是 科研 的 前 沿 领 域 ， 还 有 许多 未 解 的 问题 。 即 使 有 一 些 加 
密 数 字 货 币 已 经 局 动 并 且 使 用 了 虚拟 控 矿 ， 它 们 都 面临 和 比特 币 一 样 的 
压力 ， 即 防御 有 目的 性 的 攻击 者 。 


虚拟 挖 矿 有 一 个 常见 的 漏洞 ， 被 称 为 “无 利害 关系 问题 ”(nothing- 
at-stake problem) 或 者 “股权 粉碎 攻击 ”(stake-grinding attacks) 。 假 设 
个 有 着 小 于 50% 的 币 拥有 量 的 攻击 者 ， 答 试制 造 一 个 有 k 个 区 块 的 分 
又 ， 如 同 我 们 在 前 面 讨 论 过 的 ， 这 样 的 分 又 攻击 有 着 相当 高 的 失败 概 
率 。 在 传统 控 矿 里 ， 一 个 失败 的 攻击 有 着 很 高 的 机 会 成 本 ， 因 为 矿工 本 
可 以 在 挖掘 的 过 程 中 赚 得 奖励 ， 而 不 是 浪费 挖掘 资源 在 失败 的 攻击 上 。 


但 在 虚拟 挖 矿 里 ， 这 个 机 会 成 本 并 不 存在 。 一 个 矿工 可 以 既 在 当前 
最 长 的 区 块 链 上 挖 矿 ， 同 时 又 可 以 进行 一 个 创建 分 又 的 尝试 。 如 果 分 又 
成 功 ， 则 会 消耗 掉 大 量 的 筹码 ， 如 果 失 败 ， 这 个 失败 的 记录 不 会 出 现在 
最 长 的 区 块 链 上 。 因 此 ， 理 性 的 矿工 也 会 不 断 地 答 试 分 又 攻击 。 


对 于 这 个 问题 ， 有 一 些 不 同 的 解决 办 法 。 大 多 数 的 虚拟 挖 矿 方案 都 
积极 地 使 用 检查 点 来 防御 长 分 又 攻击 。 但 是 正如 之 前 讨论 过 的 ， 这 有 点 
和 去 中 羽化 的 共识 协 议 概念 背 道 而 驰 了 。 


分 又 攻击 和 检查 点 


当 你 下 载 比 特 币 核心 钱包 软件 时 ， 有 几 个 硬 编码 的 检查 点 ， 或 者 
过 去 区 块 的 拼接 。 这 样 做 的 根本 目的 是 让 首次 下 载 区 块 链 更 加 顺利 。 


如 果 没 有 检查 点 ， 其 他 市 点 可 以 使 用 伪造 的 “但 有 效 的 〉 区 块 和 分 支 
来 冲击 你 。 对 于 当今 的 攻击 者 来 说 ， 在 低 区 块 高 度 产生 有 效 的 谜 题解 
决 方案 是 非常 简单 的 ， 那 就 是 接近 起 源 区 块 ， 因 为 初始 阶段 的 难度 相 
对 较 低 。 你 最 终 会 发 现 这 些 区 块 不 在 最 长 的 有 效 分 文 上 《更 精确 地 来 
说 ， 不 在 最 高 总 体 难 度 的 有 效 分 文 上 ) ， 但 你 必须 浪费 资源 来 做 这 件 
事情 。 

有 些 力 类 币 ， 特 别 是 虚拟 挖 矿 计划 ， 己 经 采取 了 以 检查 后 作为 防 
御 分 文 攻击 的 强大 形态 。 节 点 会 从 指定 检 醋 市 点 收 到 检查 点 的 和 常规 更 
新 ， 该 更 新 由 指定 的 私 钥 签发 。 节 点 会 放 奔 与 检查 点 冲突 的 分 文 。 这 
种 机 制 使 得 检查 点 的 运作 方 ， 尤 其 是 另类 币 的 创建 者 ， 能 从 分 又 
和 “ 转 回 ” 区 块 中 选择 胜出 者 。 这 种 设计 非 第 有 趣 ， 但 是 已 不 是 去 中 心 
化 一 致 认可 的 协议 。 


以 太 坊 (Ethereum， 一 个 在 2015 年 启动 的 男 类 币 ， 我 们 将 在 第 10 章 
中 详细 讨论 )  ， 建 议 了 一 个 称 为 “Slasher” 的 方法 来 惩罚 尝试 进行 分 义 攻 


击 的 矿工 。 在 Slasher 方 采 中 ， 使 用 筹码 去 挖 矿 需要 用 私 钥 对 当前 区 块 进 
行人 签名， 来 应 对 那些 进行 作 浆 的 交易 ， 如 果 矿 工 兽 经 使 用 相同 的 筹码 去 
签 普 两 个 不 连续 的 区 块 链 “ 不 是 前 后 关系 ) ，Slasher 允 许 其 他 矿工 可 以 
在 区 块 链 上 输入 这 两 个 签名 作为 作 浆 的 证 据 ， 并 且 拿 走 一 部 分 筹码 以 作 
为 奖励 。 虽 然 看 起 来 这 个 方案 非常 有 效 ， 但 是 协议 本 身 非常 复 林 ， 还 没 
有 人 被 实际 部 署 。 


一 个 终极 的 防御 攻击 方式 可 能 存在 ， 就 如 同 我 们 在 传统 挖 矿 方 案 中 
看 到 的 ， 夏 工 可 以 简单 地 没有 足够 的 动力 去 进行 攻击 ， 因 为 即使 攻击 成 
功 ， 也 会 危害 整个 系统 并 使 得 他 们 所 拥有 的 筹码 贬值 。 


虚拟 挖 矿 的 其 他 弱 氮 


虚拟 挖 矿 还 有 其 他 两 个 弱点 值得 提 及 。 第 一 ， 在 茶 种 形式 的 虚拟 控 
入 方 案 中 ， 即 使 “股权 粉碎 攻击 ?不 存在 ， 也 可 能 使 得 茶 些 类 型 的 攻击 变 
得 容易 ， 因 为 控 矿 “* 蓄 力 ”(save up) 是 可 能 的 。 例 如 ， 大 量 的 币 可 以 被 
积蓄 起 来 ， 直 到 可 以 进行 一 次 剧烈 的 挖 矿 变 化 使 得 分 又 成 为 可 能 。 即 使 
古 某 个 类 似 于 Slasher 这 样 严 禁 同 时 在 两 个 区 块 链 上 挖 矿 的 系统 上 ， 也 是 
可 能 的 。 为 了 防止 这 样 的 攻击 ， 点 点 币 限制 了 币 龄 参数 不 能 超过 90 天 。 


第 二 ， 如 果 虚 拟 挖 矿 中 的 某 个 矿工 获得 了 51% 的 筹码 ， 他 可 以 通过 
只 在 他 的 区 块 上 挖 矿 的 方式 永远 保持 这 个 优势 ， 基 本 上 也 就 意味 着 可 以 
控制 整个 区 块 链 。 如 果 有 新 的 筹码 和 交易 费 从 区 块 奖励 中 产生 ， 那 个 拥 
有 51% 的 矿工 也 会 抢 去 这 些 奖励 ， 这 会 让 他 的 筹码 慢 慢 接近 100%。 在 传 
统 挖 矿 模式 中 ， 即 使 有 一 个 51% 的 矿工 存在 ， 永 远 可 能 存在 拥有 更 大 算 
力 和 更 低能 耗 的 其 他 矿工 出 现 ， 并 且 会 减少 最 大 矿工 的 市 场 份 额 。 在 虚 
拟 挖 矿 里 ， 很 难 避 免 这 个 问题 。 


虚拟 挖 矿 有 可 能 真 的 成 功 吗 


在 比特 币 的 主流 社区 里 ， 虚 拟 挖 矿 是 有 争议 的 。 有 一 个 说 法 是 ， 系 
统 的 安全 性 必须 建立 在 真正 的 资源 消耗 上 ， 也 就 是 动用 真正 的 电脑 硬件 
和 消耗 电能 去 进行 解 谜 运算 。 如 果 这 个 理论 成 立 ， 工 作 量 证 明 上 的 能 源 
耗费 可 以 被 看 成 是 系统 的 安全 费用 。 但 这 个 论点 还 没有 被 证 明 ， 就 像 虚 
拟 挖 矿 的 安全 性 也 没有 被 证 明 一 样 。 


总 结 来 说 ， 人 们 想 改 变 比 特 币 控 矿 解 谈 算 法 的 很 多 方面 ， 这 也 是 研 
究 与 创新 的 重点 区 域 。 到 目前 为 止 ， 还 没有 一 个 替代 方案 具备 理论 健全 
性 和 实用 性 。 例 如 ， 即 使 Scrypt 算 法 在 另类 币 中 很 受 欢 迎 ， 但 是 也 没有 
做 到 真正 的 反 ASIC， 而 且 其 用 途 也 还 不 清楚 。 当 然 ， 蔡 代 的 解 谜 算法 
完全 有 可 能 在 未 来 获得 更 大 的 成 功 。 毕 竟 ， 比 特 币 本 身 也 经 历 了 数 十 年 
的 不 断 失 败 的 尝试 与 发 展 ， 才 最 终 成 为 一 个 既 有 很 好 的 设计 理念 又 有 相 


当 的 实用 性 的 加 密 数字 货币 。 
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第 9 章 
比特 币 “ YIZ ri 


在 前 面 的 章节 里 ， 我 们 展示 了 比特 币 的 技术 基础 架构 和 它 作 为 货币 
的 机 理 。 现 在 我 们 来 探讨 除了 货币 之 外 ， 比 特 币 可 以 作为 核心 组 成 部 分 
的 其 他 应 用 。 这 些 应 用 ， 有 些 是 直接 利用 了 比特 币 的 当前 特性 ， 并 未 做 


任何 修改 ， 而 更 多 的 则 是 需要 做 一 些微 小 调整 的 。 


我 们 根据 应 用 的 实用 性 和 学 术 上 的 趣味 性 选择 了 下 述 应 用 案例 ， 尽 
管 案例 并 不 能 穷 举 ， 但 这 些 关 于 比特 币 运作 的 例子 (或 者 设想 中 的 运作 
模式 ) ， 将 给 您 对 比特 币 新 的 用 途 看 法 禹 来 一 些 启示 。 


9.1 比特 币 作 为 一 个 只 能 被 添加 的 记录 


比特 币 是 一 个 只 能 添加 而 不 能 删除 的 记录 。 它 是 一 种 可 以 不 断 添加 
新 的 数据 ， 但 是 数据 一 旦 被 添加 上 去 ， 就 变 得 不 可 修改 并 且 永 久保 存 的 
数据 结构 。 因 此 ， 通 过 比特 币 ， 我 们 可 以 获得 一 个 时 间 顺 序 : 判断 一 个 
数据 是 在 号 一 个 数据 之 前 还 是 之 后 被 写 进 了 记录 的 。 这 个 次 序 是 由 区 块 
之 间 的 哈 希 函数 指针 ， 而 不 是 区 块 上 的 时 间 惟 所 决定 的 ， 因 为 时 间 恰 可 
以 作假 ， 或 者 是 由 于 矿工 更 改 时 间 恰 的 值 使 其 变 得 更 小 〈 更 早 ) ， 或 者 
是 矿工 的 计算 机 时 钟 没有 同步 ， 更 或 者 是 由 于 网 络 延 时 产生 的 差异 。 话 
时 如此， 如果 一 个 区 块 的 时 间 惟 延 运 了 好 几 个 小 时 ， 它 就 会 被 其 他 的 矿 
工 们 拒绝 。 所 以 时 间 惟 还 是 相对 准确 的 。 通 过 下 面 的 示例 ， 我 们 可 以 看 
到 ， 这 些 特性 是 有 实际 用 途 的 。 


安全 时 间 截 


比特 币 这 种 只 能 被 添加 的 记录 特性 可 以 被 用 来 建立 一 个 安全 时 间 戳 
(secure _ timestamping) 系统 。 假 如 ， 想 要 证 明 在 时 间 T 我 们 就 知道 了 x 
的 值 ， 但 并 不 想 披露 它 的 具体 值 。 只 有 在 未 来 很 长 时 间 后 ， 当 有 可 能 需 
要 证 明 我 们 确实 知道 这 个 值 的 时 候 ， 才 有 可 能 需要 去 披露 它 〈 当 然 ， 如 
果 我 们 在 时 间 T 知 道 x 的 值 ， 我 们 在 T 之 后 的 时 间 还 是 知道 这 个 x 的 
值 ) 。 而 且 我 们 一 旦 证 明了 这 一 点 ， 就 需要 使 这 个 证 据 具 备 永久 性 。 


在 第 1 章 中 我 们 看 到 ， 可 以 用 哈 希 函数 来 锁定 数据 xz。 我 们 不 需要 公 
布 x 值 本 映 ， 取 而 代 之 地 ， 只 需要 在 区 块 链 里 公布 这 个 数据 值 的 哈 希 销 
数 H(x)， 即 可 以 来 证 明 我 们 知道 这 个 X 值 。 这 个 哈 希 函数 的 特性 ， 保 证 


了 我 们 不 可 能 再 找到 另外 一 个 数据 y， 其 哈 希 函数 结 末 与 xX 的 哈 希 函数 结 
果 一 致 ， 也 就 是 说 ， 当 yzx 时 ，HGCO=H(W) 是 不 存在 的 。 我 们 还 可 以 依赖 
哈 希 函数 另外 一 个 常用 的 特性 : 只 要 x 本 吴 具 备 比较 高 的 最 小 信息 粒 分 
布 特性 (distribution with high min-entropy) ,也 就 是 说 ，x 是 不 可 预测 
的 ， 那 么 x 的 哈 希 函数 结果 不 会 透露 关于 x 的 任何 信息 。 如 果 x 本 里 没有 
这 种 不 可 预测 的 特性 ， 残 像 我 们 在 第 1 章 中 探讨 的 ， 我 们 可 以 选择 一 个 
有 较 高 的 最 小 信息 业 分 布 的 随机 数 r 和 x 组 合 签名 ， 然 后 用 H(r|x) 作 为 对 
外 公布 的 一 个 数值 约定 。 


这 个 设想 的 核心 就 是 ， 我 们 在 时 间 点 IT 只 辐 外 公布 哈 希 函数 HClz)， 
然后 在 之 后 的 某 个 时 间 点 来 公布 r 和 x。 任 何人 看 到 这 个 只 能 做 增 量 的 记 
录 ， 都 会 相信 在 我 们 发 表 H(r|x) 的 时 候 我 们 一 定 知道 x*， 因 为 没有 除 此 之 
外 的 其 他 方法 可 以 让 我 们 产生 那些 数据 。 


时 间 戳 的 应 用 


这 个 安全 时 间 截 到 展 有 什么 用 途 呢 ? 一 个 可 能 的 应 用 束 是 可 以 用 来 
证 明 创 意 的 优先 性 。 假 设 我 们 想 证 明 ， 申 请 专利 的 一 些 创 意 点 子 早 就 在 
我 们 头脑 里 存在 。 我 们 可 以 在 产生 创意 的 第 一 时 间 ， 就 将 设计 文档 或 者 
示意 图 草稿 在 区 块 链 里 用 哈 希 函数 及 表 出 来 ， 但 不 会 回 任 何人 泄露 这 个 
创意 的 具体 内 容 。 之 后 ， 当 我 们 提交 专利 申请 或 是 公布 这 个 想法 的 时 
候 ， 我 们 可 以 将 最 初 的 设计 文档 和 相关 信息 发 表 出 来 ， 任 何人 都 可 以 得 
证 这 些 文件 的 函数 时 间 戳 ， 来 证 实 我 们 在 这 之 前 ， 也 就 是 我 们 发 布设 计 
文档 的 哈 希 函数 约定 的 时 候 ， 就 已 经 有 了 这 个 创意 《证 明 我 们 对 这 个 创 
意 的 时 间 上 优先 所 有 权 ) 。 


我 们 还 可 以 用 同样 的 方法 来 证 明 ， 其 他 人 收 到 过 我 们 发 给 他 们 的 信 
斩 。 假 设 爱丽 丝 雇 用 鲍 劲 去 做 一 个 编程 的 工作 一 一 他 们 之 间 的 合同 规 
定 ， 鲍 动人 必须 在 一 定 的 时 间 内 将 他 所 做 的 工作 内 容 提 交 给 爱丽 丝 。 双 方 


都 想 要 获得 一 个 保证 ， 如 果 将 来 对 相关 工作 内 容 有 和 争议， 比如 鲍 动 是 否 
按时 提交 程序 或 者 他 提交 的 内 容 是 否 满 足 合 同 要 求 ， 双 方 部 布 望 可 以 有 
相关 的 事实 去 证 明 。 为 了 确保 这 一 点 ， 他 们 可 以 互相 协商 ， 将 鲍 动 提交 
的 工作 内 容 共 同 签名 后 ， 再 在 区 块 链 上 友 表 它 的 哈 希 函数 。 任 何 一 方 如 
果 对 提交 的 时 间或 者 内 容 撤 诉 ， 男 一 方 可 以 通过 披露 哈 厦 函数 的 输入 来 
重 现 当 时 发 表 的 内 容 ， 来 证 明 对 方 是 错 的 《比如 在 法 胜 上 ) 。 


安全 时 间 惟 功能 还 有 许多 其 他 有 意思 的 应 用 。 有 一 种 完全 公 钼 签名 
方案 ， 被 称 为 新 伊 :福克斯 签名 方案 (Guy Fawkes signature Scheme ) ， 
相 比较 通常 的 公 钥 签名 ， 只 是 利用 了 哈 希 函数 和 只 能 做 增 量 记录 的 记录 
特性 ， 而 不 需要 任何 重量 级 的 加 密 算法 。 


对 未 来 预测 证 明 的 攻击 


我 们 目前 无 法 仅仅 用 时 间 惟 束 证 明 对 未 来 的 准确 预测 ， 能 对 未 来 进 
行 预测 〈clairooyance) ， 当 然 非 常 好 。 而 且 从 表面 上 看 ， 这 好 像 可 以 做 
到 。 在 一 个 事件 发 生 之 前 《比如 一 个 体育 比赛 或 是 选举 ) 发 表 一 个 对 结 
果 的 预言 ， 然 后 在 事件 发 生 之 后 ， 再 证 明 在 之 前 就 已 经 预测 到 了 。 但 这 
个 方法 是 否 真正 可 行 ? 


在 2014 年 下 半年 的 世界 杯 决 赛 阶段 ， 有 人 想 用 这 个 办 法 来 “证 明 ” 世 
界 杯 的 组 织 方 国 际 足 联 (Federation Internationale de Football Association， 
简称 FIFA) 在 搞 腐 败 。 当 时 有 个 推 特 账 号 ， 由 于 在 一 些 重要 比赛 之 前 就 
可 以 准确 地 预测 到 这 些 比赛 的 结果 ， 因 而 被 广 受 关注 。 比 如 ， 该 账号 准 
确 地 预测 到 德国 队 会 在 加 时 赛 取胜 并 且 马 里 奥 . 格 策 (Mario Gatze) 会 
进 球 。 这 看 起 来 可 以 证 明 ， 要 么 是 微 博 主人 有 预知 未 来 的 能 力 ， 要 么 是 
比赛 被 操纵 了 。 然 而 事实 上 ， 这 个 博 主 只 是 在 比赛 前 发 布 了 所 有 可 能 友 
生 的 事件 ， 比 如 ， 对 于 所 有 的 参赛 球员 ， 都 有 一 条 关于 他 会 进 球 的 微 
博 ， 以 及 对 于 每 一 种 可 能 的 最 终 比 分 ， 都 有 一 条 相关 的 微 博 等 〈 见 图 


9.1) ， 然 后 在 比赛 结束 之 前 ， 博 主 删 除了 所 有 那些 不 准确 的 预测 ， 只 
留 下 那些 准确 的 “预测 ”。 
FIFA Corruption @fifndhs 


Germany will win at ET 
等 17 hours ago «Reply tyRetweet 闪 Favorite 只 12K more 


FIFA Corruption @fifndhs 
Argentina will win in penalties 
等 17 hours ago Reply 久 Retweet 次 Favorite 


FIFA Corruption @fifndhs 
Gotze will score 
只 17hoursago Reply tyRetweet 次 Favorite O14K more 


FIFA Corruption @fifndhs 
There will be a goal in the second half of ET 
等 17 hours ago Reply tyRetweet 认 Favorite 只 12K more 


FIFA Corruption @fifndhs 
Kroos will score 
等 17 hours ago © Reply tyRetweet 净 Favorite 


FIFA Corruption @fifndhs 
Lahm will score 
等 17 hours ago Reply t3Retweet 闪 Favorite 


FIFA Corruption @fifndhs 
Palacio will score 
等 17 hours ago Reply t3Retweet 净 Favorite 


图 9.1 试图 对 未 来 进行 预测 
注 : 这 就 是 那个 虚假 的 试图 通过 预测 比赛 结果 来 “证 明 ” 上 世界 杯 决 赛 圈 的 比赛 被 操 
控 了 的 推 特 账号 。 其 中 第 一 个 和 第 四 个 在 赛 后 被 证 明 是 正确 的 ， 其 他 不 准 的 预测 就 
被 删 挤 了 。 


可 以 用 同样 基础 的 攻击 方法 攻破 任何 安全 时 间 惟 系统 。 你 只 需要 在 
事先 预 埋 下 所 有 的 结果 ， 然 后 最 终 只 披露 那个 正确 的 结果 。 这 就 意味 着 
如 果 你 想 证 明 你 有 预测 能 力 ， 就 必须 去 证 明 你 做 且 只 做 了 一 个 预测 结 
果 ， 而 不 是 多 个 预测 。 但 如 果 你 想 基于 哈 希 函数 揭示 结果 ， 是 很 难 实现 
的 ， 尤 其 是 在 比特 币 的 区 块 链 上 ， 因 为 安全 时 间 戳 系统 并 不 将 承 诡 与 任 
何 个 人 身份 识别 相关 联 。 如 果 你 不 揭示 它们 ， 就 会 很 容易 公布 很 多 种 承 
语 ， 而 那些 你 从 未 揭示 的 承 话 很 难 轻 易 退 溯 到 你 。 


过 时 的 安全 时 间 戳 


这 里 介绍 一 个 简单 的 低 科技 含量 的 安全 时 间 惟 方案 ， 通 过 刊登 广 
告 ， 你 可 以 在 一 份 报纸 或 者 其 他 媒体 上 登 出 你 预测 结果 的 哈 希 函 数值 ， 
相关 的 旧 报 纸 杂 志 会 被 保存 在 图 书馆 里 或 者 在 线 备份 。 这 种 方法 可 以 提 
供 较 高 程度 的 保证 ， 证 明 你 在 报纸 发 出 的 当天 就 已 经 知道 这 个 结果 了 。 
以 后 ， 当 你 想 要 披露 你 预测 的 结果 时 ， 你 可 以 在 同一 个 报纸 上 刊登 第 二 


价 公 告 3 


比特 币 里 的 安全 时 间 戳 


如 果 我 们 想 用 比特 币 而 不 是 报纸 来 实现 时 间 戳 的 功能 ， 我 们 应 该 在 
哪里 放置 约定 的 哈 希 值 ? 是 在 交易 中 的 茶 个 环节 ， 还 是 直接 在 一 个 区 块 
里 ? 


人 们 想 出 来 的 第 一 个 也 是 最 简单 的 解决 办 法 是 ， 直 接 把 钱 打 到 数据 
的 哈 希 函数 值 ， 而 不 是 公共 钥匙 的 函数 值 。 由 于 你 不 知道 对 应 地 址 的 私 
钥 ， 这 样 做 会 “消耗 > 这些 币 ， 让 它们 销毁 挤 ， 并 且 永 不 能 被 利用 。 为 了 
降低 成 本 ， 你 可 能 需要 发 送 微量 的 币值 ， 比 如 1 聪 (satoshi，0.0000001 
个 比特 币 ， 这 是 比特 币 的 最 小 交易 额 ) 。 


这 个 方法 虽然 很 简单 ， 但 消耗 比特 币 的 做 法 不 讨 人 喜欢 《即使 和 交 
易 费 相 比 ， 这 种 被 消耗 的 比特 币 量 级 可 以 忽略 不 计 ) 。 更 大 的 问题 是 ， 
因为 比特 币 矿工 不 知道 这 些 交 易 开支 是 永远 不 可 用 的 ， 他 们 会 永远 地 人 退 
踊 下 去 。 因 此 整个 比特 币 社 区 对 这 个 方法 都 不 太 感 冒 。 


另 一 个 较为 先进 的 被 称 为 承诺 币 (CommitCoin) 的 方法 ， 是 将 你 的 数 
据 编 码 进 私 钥 里 。 第 1 章 中 曾经 提 到 过 : “使 用 ECDSA 时 ， 确 保 随 机 性 
恨 好 来 源 至 关 重 要 ， 因 为 不 恨 来 源 将 可 能 导致 密 钥 信 息 的 泄露 。 这 一 点 
不 难 理解 ， 如 果 你 使 用 了 不 恨 随 机 源 来 生成 密 钥 ， 那 么 该 密 钥 就 可 能 不 
安全 。 但 是 ECDSA 的 古怪 就 在 于 ， 即 使 你 仅仅 只 是 在 生成 签名 时 使 用 
了 不 恨 随 机 源 ， 而 你 使 用 的 密 钥 完美 无 缺 ， 你 的 个 人 密 钥 还 是 可 能 会 被 
泄露 。” 


承诺 币 利 用 了 这 个 特性 。 我 们 生成 一 个 新 的 私 钥 把 我 们 的 数据 约定 
进行 编码 ， 并 对 应 地 生成 一 个 公 钥 。 然 后 我 们 会 发 送 一 个 微小 金额 的 交 
易 〈 比 如 2 000 聪 ) 到 那个 地 址 ， 随 后 再 发 送 两 笔 每 次 1 000 聪 的 交易 回 
来 。 最 重要 的 是 ， 当 发 送 回来 的 时 候 ， 我 们 会 用 同样 的 随机 源 来 对 两 次 
交易 进行 签名 。 这 样 ， 任 何人 在 区 块 链 里 计算 包含 被 封装 的 数据 约定 的 
私 钥 时 ， 必 须 使 用 两 个 签名 。 


比 起 把 数据 约定 编码 到 公 钥 的 方法 ， 承 话 币 避免 了 消耗 额外 的 比特 
币 ， 而 且 矿工 不 再 会 一 直 退 踩 一 个 永久 不 能 再 被 使 用 的 文 出 。 不 过 这 个 
方法 十 分 复杂 。 


不 能 被 再 次 使 用 的 输出 


一 直到 2015 年 ， 比 特 币 实行 时 间 惟 的 办 法 是 用 一 个 OP_RETURN 的 
交易 ， 这 个 交易 的 输出 可 以 被 证 明 ， 但 不 能 被 二 次 使 用 〈 见 图 9.2) 。 
这 个 OP_RETURN 指 令 会 立刻 返回 一 个 错误 代码 让 这 个 脚本 永远 不 能 成 


功 地 执行 ， 这 样 一 来 ， 所 封装 的 数据 就 被 忽略 了 。 就 像 我 们 在 第 3 章 看 
到 的 ， 这 既 可 以 用 做 消耗 证 明 ， 也 可 以 用 来 编码 任意 数据 。 到 2015 年 ， 
OP_RETURN 人 允许 输出 80 个 字 节 的 数据 ， 这 对 哈 希 函数 来 说 是 足够 了 
CSHA-256 需 要 32 个 字 节 ) 。 

OP_RETURN <H (data) > 

图 9. 2 用 0P_RETURN 指 令 的 时 间 蕉 
注 : 这 是 一 个 “不 能 被 再 次 使 用 ”的 交易 输出 脚本 ， 中 间 封 装 了 一 个 数据 约定 。 

这 个 方法 “ 挤 出 了 ”在 没有 被 使 用 过 交易 支出 里 的 “水 分 *”， 因 为 矿工 

会 精简 OP_RETURN 里 的 文 出 。 这 个 数据 约定 的 花费 其 实 就 是 一 个 交易 
费 。 在 整个 2015 年 ， 一 个 典型 的 交易 费 通 和 党 小 于 1 美 分 。 这 个 交易 费 可 
以 分 摊 在 针对 多 个 数据 的 一 个 约定 上 ， 从 而 使 得 成 本 更 低 。 在 2015 年 年 
末 ， 己 经 有 几 个 网 站 在 做 这 些 服务 。 它 们 收集 不 同 用 户 的 一 组 数据 ， 把 
这 些 数据 封装 到 一 个 梅 克 尔 树 中 ， 然 后 发 布 一 个 包含 了 这 个 梅 珊 尔 树 树 
根 数据 中 不 能 被 再 次 使 用 的 交易 支出 。 这 种 做 法 就 好 比 ， 把 当天 需要 实 
行 时 间 戳 的 所 有 用 户 数据 封装 到 了 一 个 数据 约定 里 。 


非法 内 容 


区 块 链 随意 封装 数据 的 特性 也 有 不 好 的 地 方 ， 可 能 会 被 攻 些 人 恶意 
使 用 。 在 大 多 数 国 家 ， 有 些 内 容 ， 尤 其 如 儿童 色情 ， 它 的 制作 和 传播 都 
征 非法 的 ， 并 且 会 伴随 非常 严 历 的 处 昼 。 和 滥 作 权 法 也 严格 规定 了 菏 些 内 
容 的 传播 。 


当然 ， 不 少 人 已经 尝试 这 样 做 去 “危害 ?或 者 扰乱 比特 币 社 区 。 比 
如 ， 有 报道 称 有 部 分 色情 链接 被 公布 在 比特 币 的 区 块 链 上 。 这 些 害 群 之 
马 的 目的 ， 束 是 让 下 载 比 特 币 区 块 链 到 个 人 硬盘 并 且 运 行 完 全 有 效 节点 
的 行为 变 得 很 危险 ， 这 也 意味 着 你 有 可 能 存储 和 传播 了 这 些 非法 的 信 
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然而 ， 截 至 目前 ， 还 没有 好 的 办 法 来 阻止 这 种 写 入 任意 数据 到 比特 
币 区 块 链 的 行为 ， 即 使 我 们 用 P2SH (支付 给 脚本 的 哈 希 值 ) 来 防止 恶 
意 攻 击 行为 ， 也 只 不 过 是 使 交易 多 花 些 费 用 而 已 ， 无 法 完全 阻止 这 种 行 


好 在 法 律 不 是 计算 机 算法 ， 尝 试用 技术 的 手段 对 法 律 进 行 “黑客 攻 
击 ” 虽 然 很 请 人 ， 但 并 不 容易 。 法 律 是 需要 人 类 来 解释 的 ， 并 融合 了 其 
他 因素 ， 比 如 我 们 的 意图 。 以 美国 联邦 法 采 2252 写 为 例 ， 其 中 在 摘 述 有 
关 拥 有 、 分 发 传播 和 接收 儿童 色情 制品 的 非法 行为 时 ， 使 用 的 措辞 就 用 
了 “明知 故 犯 "这样 包含 了 意图 的 关键 词 。 


男 外 一 个 值得 注意 的 是 ， 根 据 上 和 面 我 们 讨论 过 的 字 市 大 小 的 限制 ， 
图 片 数据 《除非 是 非常 小 的 图 片 ) 不 能 直接 被 写 在 区 块 链 的 数据 块 中 ， 
这 些 数据 要 么 被 存放 在 只 在 区 块 链 中 保存 相应 链接 的 外 部 数据 库 中 ， 要 
么 是 用 一 种 元 长 的 办 法 封装 在 多 个 交易 之 中 。 最 终 的 结果 就 是 ， 大 多 数 
比特 币 用 户 都 没有 能 力 在 交易 中 直接 解码 并 查看 数据 ， 更 不 用 说 解码 并 
查看 路 越 多 个 交易 的 数据 了 。 


依附 在 比特 币 上 的 附着 币 


从 好 的 一 方面 来 说 ， 因 为 我 们 可 以 把 任何 数据 都 写 进 比 特 币 的 区 
块 ， 从 而 在 比特 币 的 系统 之 上 建立 起 一 个 全 新 的 货币 系统 ， 而 不 需要 开 
发 一 个 新 的 共识 机 制 。 我 们 只 需要 简单 地 把 比特 币 用 作 一 个 只 能 被 添加 
的 记录 ， 然 后 把 我 们 开发 新 币 所 需要 的 所 有 数据 写 进 比特 币 的 区 块 链 。 
我 们 称 这 种 方法 为 一 个 依附 在 比特 币 上 的 “附着 币 ” (overlay 
currencies) 。 比 特 币 成 为 一 个 底层 基础 架构 ， 所 有 附着 币 的 数据 ， 通 过 
以 不 可 消费 的 交易 文 出 的 方式 写 进 比 特 币 的 区 块 链 。 


当然 ， 比 特 币 的 矿工 不 会 验证 你 写 进 区 块 链 的 数据 ， 因 为 他 们 不 知 


道 也 并 不 关心 这 些 数据 在 你 所 定义 的 新 的 货币 体系 里 是 否 正 当 有 效 。 只 
要 你 肯 付 交易 费 ， 任 何人 都 可 以 写 任何 东西 。 不 同 的 是 ， 你 必须 自己 开 
发 更 加 复杂 的 逻辑 来 验证 新 货币 体系 里 的 交易 ， 然 后 在 每 个 收发 这 种 新 
币 的 客户 并 (也 就 是 钱包 软件 ) 部 必须 有 这 人 套 人 逻辑 。 


举例 来 说 ， 一 个 附着 币 的 矿工 不 能 再 拒绝 双重 支付 的 交易 。 相 反 ， 
每 个 附着 币 的 用 户 必须 检查 区 块 链 里 的 历史 记录 。 如 果 有 人 尝试 重复 支 
付 这 个 币 〈 已 经 被 用 过 一 次 了 ) ， 那 样 第 二 次 的 交易 就 应 该 被 直接 忽 
略 。 因 为 这 个 缘故 ， 在 附着 币 里 没有 一 个 轻 量 级 的 SPV 客 户 端 


合约 币 〈Counterparty) 是 其 中 一 种 比较 优秀 的 附着 币 ， 所 有 合约 
币 的 交易 都 被 写 入 比特 币 的 区 块 链 ， 在 2014 年 ， 大 约 有 0.59%~19% 的 比特 
币 交 易 携 带 了 合约 币 的 数据 。 同 时 它 支 持 的 功能 也 比比 特 币 更 多 、 更 丰 


解 合 约 币 的 规则 ， 合 约 币 的 开发 者 可 以 集中 精力 开发 一 些 有 趣 的 功能 ， 
比如 智能 合约 、 用 户 自 定义 货币 等 。 合 约 币 的 API 也 比比 特 币 的 API 丰 
富 很 多 ， 因 为 比特 币 的 矿工 不 需要 理解 或 者 是 批准 这 些 API 的 开发 。 


不 需要 开发 新 的 共识 机 制 就 可 以 创造 一 个 新 的 数字 货币 ， 这 种 可 能 
性 是 十 分 诱 人 的 。 你 甚至 不 需要 去 或 励 新 矿工 们 来 加 入 你 的 系统 ， 也 不 
需要 去 改变 比特 币 束 可 以 增加 新 的 功能 特性 。 但 是 ， 这 种 系统 还 是 依赖 
于 比特 币 的 ， 比 如 ， 这 些 附着 币 的 交易 费 规则 就 受制 于 比特 币 。 男 外 ， 
由 于 附着 币 上 的 节点 可 能 需要 处 理 大 量 的 数据 ， 而 比特 币 不 会 帮 你 去 过 
小 这 种 交易 ， 这 种 方法 也 有 可 能 是 低 效率 的 。 


9.2 比特 币 作 为 一 个 “智能 资产 ” 


我 们 现在 来 探讨 一 下 ， 除 了 货币 功能 ， 比 特 币 平台 的 其 他 特性 。 


我 们 在 前 面 第 6 章 中 谈 到 ， 你 可 以 简单 地 通过 跟踪 交易 图 谐 ， 就 可 
以 在 比特 币 系统 里 退 踪 一 个 币 的 所 有 权 。 请 记 住 这 一 点 : 没有 一 个 具体 
意义 上 的 比特 < 币 ?， 只 有 未 消费 的 文 出 ， 我 们 把 它们 叫 作 币 。 每 个 比特 
币 都 有 一 个 历史 记录 ， 任 何人 都 可 以 在 区 块 链 里 查询 到 。 一 个 币 的 历史 
记录 可 以 退 溯 到 一 个 或 多 个 原始 交易 ， 这 些 原始 交易 标志 着 这 个 比特 币 
的 诞生 。 正 如 我 们 之 前 讨论 过 的 ， 在 比特 币 里 ， 匿 名 性 其 实 是 个 伪 命 


题 ， 因 为 你 可 以 通过 这 个 方法 去 追踪 比特 币 的 所 有 权 。 


可 互 换 性 (fungibility) 


比特 币 的 这 个 特征 让 我 们 发 现 了 它 的 一 个 有 趣 的 现象 : 比特 币 不 
是 可 互 换 的 。 在 经 济 学 中 ， 一 个 具备 可 答 代 性 的 商品 是 指 所 有 的 个 体 
是 相同 的 ， 然 后 可 以 互相 符 换 。 比 如 黄金 束 是 可 以 互 换 的 ， 一 合 司 纯 
金 可 以 和 羽 一 僵 司 纯 金 互 换 《 因 为 它们 之 间 没 有 任何 差别 ) 。 但 是 比 
特 币 不 一 样 ， 每 个 比特 币 都 是 独一无二 的 ， 因 为 每 一 个 比特 币 都 有 着 
目 己 独特 的 历史 记录 。 


在 很 多 场景 下 ， 不 同 的 历史 记录 可 能 不 会 有 什么 差 寞 ， 但 是 如 果 
特定 的 历史 记录 对 茶 些 人 比较 有 意义 ， 那 么 在 你 和 他 们 交易 的 时 候 ， 
你 的 一 个 比特 币 和 他 们 的 一 个 比特 币 束 不 一 样 。 可 能 有 些 人 不 愿意 用 
他 的 比特 币 来 和 你 交换 ， 可 能 因为 他 更 喜欢 他 的 比特 币 的 历史 记录 ， 
例如 ， 部 分 重视 旧 币 价值 的 收藏 家 们 ， 可 能 沉 得 从 创 世 区 块 里 造 出 的 


币 有 着 特 殊 的 价值 。 


比特 币 的 这 个 可 妃 溯 性 特性 有 什么 作用 吗 ? 我 们 已 经 看 到 它 可 能 会 
危害 比特 币 的 匿名 性 。 接 下 来 ， 我 们 要 看 一 下 为 什么 比特 币 的 历史 记录 
会 有 意义 : 


让 我 们 先 思考 一 下 ， 怎 样 让 一 个 普通 的 线 下 的 物理 货币 有 意义 ? 假 
设 我 们 想 要 在 物理 货币 中 加 载 一 个 元 数据 ， 事 实 上 已 经 有 人 在 这 么 做 
。 例 如 ， 在 纸币 上 涂 些 文字 ， 通 音 是 一 个 笑话 或 者 是 一 种 “政治 宣 
言 "。 但 这 么 做 纯粹 为 了 好 玩 ， 并 不 影响 纸币 的 价值 。 
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但 如 果 我 们 可 以 把 证 实 过 的 元 数据 “ 笑 * 在 我 们 的 货币 上 ， 而 这 些 元 
数据 不 是 轻易 就 可 以 复制 的 ， 又 会 有 什么 结果 呢 ? 有 一 个 做 法 就 是 把 加 
密 签 名 包含 在 元 数据 内 ， 然 后 把 这 个 元 数据 和 钞票 上 的 序列 号 进行 绑 
定 。 


但 这 又 有 什么 用 呢 ? 比如 一 个 棒球 队 ， 如 果 想 用 纸币 作为 门票 ， 那 
么 采用 这 个 做 法 ， 他 们 束 不 需要 花费 大 量 精 力 去 印 制 门票 ， 也 不 用 担心 
有 人 会 去 伪造 门 时 。 纽 约 扬 基 队 可 以 宣称 一 张 有 特殊 序列 写 的 美 钞 可 以 
作为 一 场 特殊 比赛 的 入 场 券 ， 并 且 指 定 到 杀 个 特定 的 观 赛 遍 。 这 些 特 殊 
的 纸币 可 以 采用 与 其 他 门票 同样 的 方式 分 友 ， 比 如 邮寄 给 在 线 购 买 球 时 
的 球迷 。 任 何 拥 有 这 张 特 殊 纸币 的 人 ， 都 可 以 赁 此 进入 体育 迄 ， 并 坐 在 
指定 的 座位 上 观看 比赛 。 这 张 纸币 本 身 就 是 门票 。 


扬 基 队 可 以 用 数字 签名 来 增加 真实 性 。 他 们 可 以 把 特定 的 比赛 日 
期 、 座 位 号 及 钞票 的 序列 号 一 起 做 签名 ， 然 后 把 这 个 签名 印 在 纸币 上 。 
通过 一 个 简单 的 二 维 码 就 可 以 实现 这 个 功能 〈 如 图 9.3 所 示 ) 。 球 馆 可 


以 相应 地 维护 一 个 保存 所 有 钞票 序列 号 对 应 每 场 比赛 和 座位 号 的 数据 
库 ， 当 你 插 票 入 场 的 时 候 ， 它 们 只 需要 根据 你 所 提供 的 二 维 码 去 数据 库 
里 校 验 即 可 ， 也 就 不 需要 在 纸币 上 瘟 章 并 印 上 相关 信息 了 。 
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图 9. 3 一 张 普通 的 钞票 上 设置 一 些 有 用 的 元 数据 


但 这 样 做 完 竟 有 什么 好 处 呢 ? 现在 ， 纸 币 可 以 代表 许多 事物 。 上 述 
例子 中 ， 纸 币 痊 代 了 体育 比赛 门票 ， 除 此 之 外 ， 纸 币 还 可 以 有 其 他 许多 
应 用 。 为 了 纸币 不 能 被 伪造 ， 政 府 投 入 巨大 ， 我 们 可 以 利用 纸币 上 已 具 
备 的 防伪 特性 ， 来 创建 其 他 应 用 。 当 然 ， 这 张 纸 币 的 本 身价 值 也 保存 了 
下 来 。 当 一 个 球迷 使 用 了 这 张 门 票 后 ， 这 张 纸币 还 可 以 正常 流通 。 当 
然 ， 如 采 每 个 人 都 想 在 钞票 上 印 一 个 元 数据 可 能 会 有 问题 ， 但 我 们 可 以 
用 数据 库 的 方法 来 规避 这 个 问题 。 


当然 ， 这 个 新 的 元 数据 是 个 有 意义 ， 完 全 取决 于 我 们 对 数据 及 行者 
的 信任 。 在 上 面 这 个 例子 中 ， 一 定 有 人 知道 存在 一 个 特定 的 “ 密 钥 ?来 签 
发 有 效 的 扬 基 队 球 票 ， 或 者 下 载 束 个 扬 基 队 的 数据 库 以 识别 这 个 特殊 纸 
币 的 门票 价值 ， 而 对 其 他 人 来 说 ， 这 吏 是 一 张 普 通 的 一 美元 纸币 。 无 论 
如 何 ， 这 是 一 个 不 错 的 属性 ， 因 为 一 旦 在 这 张 “ 门 涌 ”完成 使 命 之 后 ， 它 
又 可 以 作为 普通 纸币 进入 货币 流通 。 


染色 币 


在 比特 币 上 ， 我 们 是 否 可 以 采用 类 似 的 数字 化 的 方式 增加 元 数据 
呢 ? 我 们 想 保留 比特 币 好 的 特性 ， 比 如 可 以 在 线 交 易 、 快 速 结 算 ， 以 及 
不 依赖 于 银行 。 


顾名思义 ， 染 色 币 (Colored Coins) 就 是 把 比特 币 “ 染 色 ”， 即 使 这 
个 币 几 经 倒 手 ， 我 们 也 可 以 根据 这 个 特殊 的 “颜色 ”来 奶 踪 比特 币 ， 束 如 
同 在 物理 货币 上 印 上 一 个 代表 特殊 数据 元 的 图 章 一 样 。 一 个 “染色 ”的 比 
特 币 依然 可 以 作为 一 个 有 效 的 币 ， 只 是 携带 了 额外 的 元 数据 。 


为 了 做 到 这 一 点 ， 在 一 个 被 称 为 “发 行 * 的 交易 里 ， 我 们 内 入 一 些 颌 
外 的 元 数据 来 宣布 某 些 比特 币 具 备 了 特定 的 颜色 。 如 图 9.4 所 示 ， 在 一 
个 交易 的 支出 中 ， 我 们 发 行 了 5 个 “ 浅 灰 色 ” 的 比特 币 ， 同 一 交易 支出 里 
的 其 他 的 7 个 ， 仍 然 是 普通 的 没有 染色 的 比特 币 。 另 外 一 个 人 ， 可 能 持 
有 一 把 不 同 的 签名 密 钥 ， 在 其 他 的 交易 里 发 行 了 * 深 灰色 ”的 比特 币 。 我 
们 称 之 为 “染色 ”， 是 为 了 便于 直观 理解 。 在 实际 中 ， 所 谓 的 “颜色 ”其 实 
就 是 一 串 二 进 制 的 数字 代码 。 这 里 ， 最 重要 的 一 点 特性 是 ， 同 样 颜色 和 
同样 价值 的 币 是 完全 相同 的 。 


虽然 我 们 现在 有 不 同 颜 色 的 比特 币 ， 但 依然 可 以 进行 正常 的 比特 币 
交易 。 我 们 可 能 碰 到 一 个 交易 ， 它 包含 了 几 个 不 同 输入 的 比特 币 ， 有 些 
是 深 灰 色 的 ， 有 些 是 浅 灰 色 的 ， 有 些 是 没有 染色 的 ， 并 且 混 在 一 起 。 同 
时 ， 这 个 交易 可 能 会 有 几 个 文 出 交易 ， 其 中 的 比特 币 保 持 着 被 染色 的 状 
态 ， 并 且 交 易 中 可 以 添加 一 些 元 数据 ， 决 定 这 些 比特 币 根据 染色 的 不 同 
去 往 不 同 的 交易 支出 ， 我 们 可 以 把 一 个 包含 4 个 深 灰色 币 的 支出 拆 分 成 
两 个 更 小 的 深 灰 色 币 组 合 ， 我 们 也 可 以 把 几 个 深 灰 色 币 组 合 到 一 个 大 的 
深 灰色 币 交 易 中 。 


图 9.4 染色 币 


注 : 交易 图 谱 描述 了 染色 币 的 发 行 和 传播 过 程 。 


开放 资产 


2015 年 ， 在 比特 币 里 实施 “染色 ”的 、 最 受 欢 迎 的 应 用 方案 是 “开放 
资产 ” (OpenAseet) 。 资 产 通过 一 个 特殊 的 支付 给 脚本 的 哈 希 值 
(P2SH) 的 地 址 来 发 行 。 如 果 你 想 发 行 染色 币 ， 首 先 要 选择 一 个 P2SH 地 
址 。 任 何 通过 这 个 地 址 转账 的 币 在 进入 的 时 候 都 没有 颜色 ， 在 出 来 的 时 
候 ， 束 会 被 这 个 地 址 分 配 一 个 特定 的 颜色 。 如 果 要 让 这 个 染色 币 变 得 有 
意义 ， 你 还 要 把 这 个 地 址 公布 出 来 。 有 许多 交易 所 会 追踪 这 些 地 址 来 推 
断 比 特 币 染 上 何 种 颜色 。 由 于 比特 币 可 以 按照 时 间 顺 序 通 过 多 个 地 址 进 
行 染 色 ， 因 此 ， 一 个 比特 币 被 染 上 多 个 不 同 的 颜色 ， 也 就 不 足 为 奇 了 。 


一 旦 执行 了 一 个 带 有 染色 币 的 交易 ， 你 就 必须 圣 入 一 个 有 特殊 标记 
的 文 出 ， 就 像 我 们 给 数据 约定 加 时 间 戳 一 样 ， 这 征 一 个 可 证 实 且 不 可 再 
次 消费 的 文 出 。 被 封闭 在 这 个 有 特殊 标记 的 文 出 里 的 元 数据 ， 详 细 地 列 
出 了 染色 的 输入 是 如 何 分 配 到 不 同 输出 的 。 


正如 我 们 之 前 所 注意 到 的 ， 比 特 币 对 此 完全 兼容 ， 因 为 它 并 不 对 比 
特 币 做 任何 改变 ， 矿 工 社区 也 没有 对 这 种 做 法 多 加 干涉 。 无 须 中 央 权 威 
授权 ， 它 允许 任何 人 对 货币 进行 各 种 染色 。 只 要 有 人 理解 、 认 可 并 遵循 
你 所 设计 的 染色 币 的 规则 ， 那 么 你 所 发 行 的 染色 币 甚至 有 可 能 超过 比特 
币 本 身 的 价值 。 比 如 ， 如 果 扬 基 队 发 行 染色 币 ， 并 且 这 些 币 可 以 作为 球 
场 入 场 门 票 ， 只 要 球场 的 管理 员 认 可 这 些 染 色 币 的 门票 特性 ， 他 们 就 会 
让 你 赁 票 〈 染 色 币 ) 入 场 。 


这 个 方法 的 第 一 个 缺点 是 ， 我 们 必须 把 不 可 被 再 次 消费 的 标记 支出 
放 进 每 个 交易 里 。 由 于 每 次 交易 一 个 染色 币 时 ， 都 需要 多 花 一 些 交 易 
费 ， 这 会 增加 一 点 成 本 。 第 二 个 缺点 是 ， 丰 工具 会 验证 作为 底层 基础 的 


比特 币 的 有 效 性 ， 但 不 会 去 验证 染色 币 的 有 效 性 。 如 条 想 要 验证 一 个 染 
色 币 的 有 效 性 ， 你 必须 亲自 去 查证 它 所 有 的 历史 记录 ， 或 是 委托 第 三 方 
来 帮 你 完成 。 此 外 ， 不 同 于 一 般 的 比特 币 ， 用 户 不 能 使 用 一 个 轻 量 级 的 
简单 文 付 验证 客户 端 。 这 惑 使 得 类 似 手 机 这 种 有 计算 性 能 限制 的 设备 ， 
在 使 用 染色 币 时 变 得 非常 困难 。 


染色 币 的 用 途 和 智能 资产 


一 个 经 常 被 引用 的 智能 资产 用 途 就 是 公司 股票 。 一 个 想 要 用 染色 币 
来 友 行 股票 的 公司 ， 需 要 公布 一 个 发 行 地 址 和 规则 ， 通 过 这 个 地 址 发 行 
的 染色 比特 币 代 表 了 公司 的 股票 。1 聪 比特 币 就 可 能 代表 公司 的 1 股 。 股 
票 持 有 者 就 可 以 在 区 块 链 上 交易 股票 ， 而 不 需要 一 个 像 股票 交易 所 这 样 
的 中 央 媒 介 。 当 然 ， 股 票 持 有 者 必须 信任 公司 对 这 种 股权 的 认可 。 例 
如 ， 公 司 承 诡 按 照 每 股 文 付 相应 的 股 奶 或 者 授权 股东 对 公司 决策 有 比例 
性 的 投票 权利 。 传 统 股票 是 通过 法 律 规 定 来 你 障 的 ， 截 全 2015 年 ， 染 色 
币 或 者 其 他 基于 区 块 链 的 资产 还 没有 获得 任何 一 个 司法 机 构 的 认可 。 = 


物理 特性 。 男 一 个 可 能 的 用 途 是 ， 染 色 币 可 以 代表 现实 世界 中 的 一 
些 资产 。 比 如 ， 一 个 染色 币 可 以 代表 一 处 房产 或 者 一 辆 汽车 。 你 所 拥有 
的 一 辆 高 级 轿车 可 以 和 一 个 在 区 块 链 上 的 特定 的 染色 币 关 联 ， 然 后 持 有 
这 个 染色 币 的 人 可 以 用 它 来 启动 和 驾驶 这 辆 车 。 当 你 要 卖 这 辆 车 的 时 
候 ， 或 是 至 少 要 转让 使 用 权 的 时 候 ， 你 只 要 在 区 块 链 里 简单 地 执行 一 个 
单 笔 交易 。 在 第 11 瘟 ， 我 们 将 探讨 在 撤 术 上 如 何 实现 这 个 功能 ， 以 及 一 
些 可 能 会 遇 到 的 社会 和 法 律 上 的 障碍 。 但 是 ， 由 于 其 具备 了 智能 特性 ， 
我 们 的 梦想 是 让 现实 世界 中 任何 有 形 资 产 都 可 以 用 染色 币 来 代表 ， 并 且 
资产 的 转让 或 交易 就 像 比 特 币 的 转让 或 交易 一 样 容易 。 


域名 。 最 后 一 个 例子 是 ， 使 用 染色 币 来 完成 一 些 现 有 域名 系统 的 功 
能 : 登记 和 转让 拥有 权 ， 关 联 域名 和 IP 地 址 。 域 名 市 场 有 许多 有 意思 的 


特征 ， 其 中 之 一 是 它 有 无 数 可 能 的 域名 。 根 据 域名 名 字 和 是 否 方便 记忆 以 
及 其 他 因素 ， 域 名 有 着 不 同 的 价值 ， 同 样 ， 对 于 不 同 的 人 ， 一 个 域名 可 
能 有 完全 不 同 的 意义 。 我 们 可 以 用 染色 币 来 处 理 域 名 登记 和 其 他 相关 功 
能 。 事 实 上 ， 有 一 个 号 类 币 就 是 为 这 个 目的 而 设计 的 ， 叫 作 域名 币 
CNamecoin ) ， 我 们 会 在 第 10 章 中 做 具体 讨论 。 每 个 方法 都 有 目 己 的 独 
特 优 势 ， 染 色 币 可 以 获得 比特 币 区 块 链 的 安全 保护 ， 而 另类 币 可 以 相对 
容易 地 部 著 域 名 登记 、 转 让 、 关 联 IP 等 复杂 远 辑 。 


1. 2016 年 3 月 ， 美 国 在 线 零售 商 Overstock 己 经 获得 了 美国 证 券 交 易 委 员 会 (SEC) 的 批 
准 ， 通 过 比特 币 区 块 链 技术 发 行 100 万 股 新 股 。 一 一 译 者 注 


9.3 多 方 参与 的 安全 博彩 系统 


我 们 现在 来 讨论 一 下 如 何在 比特 币 里 举行 一 个 “ 掷 硬币 ”的 游戏 。 首 
先 看 一 下 ， 在 线 下 是 如 何 建立 这 个 系统 的 。 


爱丽 丝 和 鲍 动 想 要 下 一 个 5 美元 的 赌注 。 他 们 在 下 注 之 前 两 量 好 了 
游戏 规则 。 鲍 动 往 空 中 扔 一 个 人 硬币， 爱丽 丝 在 人 硬币 落地 之 前 叫 
出 “ 正 ? 或 * 反 ? 面 。 当 硬币 落地 的 时 候 ， 可 以 立即 判断 谁 是 顾家 。 双 方 都 
知道 这 个 结果 有 足够 的 随机 性 ， 他 们 之 中 任何 一 人 都 没有 办 法 影响 结 
果 。 


为 了 使 双方 相信 这 个 游戏 是 公平 的 ， 游 戏 的 步骤 顺序 以 及 硬币 的 特 
性 至 关 重 要 。 但 上 述 设 计 有 一 个 缺陷 ， 就 是 他 们 二 人 都 必须 同时 在 场 ， 
而 且 相 信 对 方 会 愿 赌 服输 。 在 线 上 ， 我 们 也 想 设计 一 个 同样 “公平 ”的 博 
彩 系统 ， 同 时 确保 输家 也 会 愿 赌 服输 。 


初 看 起 来 ， 这 个 应 用 有 些 古 怪 ， 并 且 有 局 限 性 ， 并 不 值得 深入 研 
究 。 非 常 有 意思 的 是 ， 一 个 基于 比特 币 的 在 线 博彩 系统 中 本 聪 之 般 ， 已 
经 被 证 明 非 常 受 欢 迎 ， 但 它 并 未 采用 上 述 设 计 模 式 ， 而 是 依赖 于 某 一 方 
的 信用 ， 但 它 时 不 时 地 绪 括 了 大 部 分 比特 币 网 络 上 的 交易 量 。 


我 们 想 研 究 这 种 加 复数 字 贷 币 的 “ 掷 硬 币 系 统 的 真正 原因 是 ， 如 采 
我 们 可 以 据 此 设计 一 个 安全 协议 的 话 ， 也 可 以 用 这 个 技术 来 设计 其 他 有 
趣 和 有 用 的 协议 。 窗 码 学 专家 研究 “多 方 参与 的 安全 计算 ”， 也 就 是 说 多 
个 互相 不 信任 的 参与 者 ， 每 个 主体 都 有 各 目的 数据 ， 然 后 综合 各 主体 的 
数据 来 共同 计算 一 个 结果 ， 但 同时 每 个 主体 都 不 想 让 其 他 参与 者 知道 自 
己 的 数据 是 什么 。 想 象 一 个 类 似 的 场景 ， 一 次 竞价 拍卖 ， 但 没有 一 个 可 


徘 的 拍卖 行 。 通 第 这 些 计算 需要 被 随机 化 ， 来 打破 互相 之 间 的 关联， 最 
后 ， 这 个 计算 的 结果 是 有 金融 属性 的 ， 并 且 是 不 可 逆转 的 。 比 如 ， 我 们 
想 要 保证 中 标 者 最 后 会 付 秋 给 担 卖 物品 的 卖方 ， 更 进一步 ， 让 卖方 的 
(智能 ) 资产 自动 转移 到 中 标 者 的 名 下 ， 甚 至 更 进一步 ， 我 们 还 想 要 和 下 
昼 那 些 不 守 规 矩 的 人 。 


总 而 言 之 ， 一 个 安全 的 多 方 博彩 系统 虽然 看 起 来 简单 ， 但 其 实 可 以 
用 来 研究 一 个 非常 强大 的 系统 模式 ， 各 自 都 有 敏感 数据 的 互 不 信任 的 一 
群 参与 者 ， 共 同 来 执行 一 个 程序 ， 不 仅仅 是 为 了 控制 数据 ， 还 可 以 控制 
与 之 关联 的 资金 。 


在 线 撕 便 币 系 统 


第 一 个 挑战 是 找到 与 “ 掷 便 币 ”相对 应 的 线 上 的 相关 方法 。 假 设 我 们 
有 三 个 参与 者 : 爱丽 丝 、 鲍 过 和 卡 罗 尔 ， 大 家 都 想 以 相同 的 概率 来 选择 
一 个 号 码 1、2、3。 我 们 尝试 以 下 协议 : 每 个 人 选择 一 个 大 的 随机 数 ， 
比如 爱丽 丝 选 x、 鲍 盈 选 y、 卡 罗 尔 选 z:， 然 后 互相 告知 各 目的 随机 数 ， 
并 共同 计算 结果 (x+y+z)%3。 


如 果 他 们 都 是 完全 独立 地 选择 随机 数 的 话 ， 这 个 方法 是 可 行 的 。 但 
请 记 住 ， 这 是 在 互联 网 上 ， 没 有 办 法 可 以 限制 他 们 绝对 地 “同时 ”送出 数 
据 。 爱 丽 丝 可 能 会 等 到 鲍 劲 和 卡 罗 尔 送出 随机 数 之 后 再 发 布 她 的 数据 。 
这 样 一 来 ， 她 可 以 轻易 地 操纵 这 个 计算 的 结果 。 我 们 没有 办 法 设计 出 一 
个 数据 交换 协议 ， 它 可 以 让 大 家 都 相信 没有 人 会 作弊 。 


为 了 解决 这 个 问题 ， 我 们 还 是 要 回 到 函数 约定 。 首 先 ， 每 一 个 人 选 
一 个 大 的 随机 数 ， 并 发 布 它 的 哈 希 函数 值 ， 然 后， 每 个 人 披露 各 目 所 选 
的 数字 ;， 接着， 其 他 两 个 人 查证 这 个 被 披露 的 函数 值 和 在 第 一 步 友 表 的 
数据 是 人 否 正确 ; 最 后 ， 计 算 这 个 三 个 随机 数 的 结果 ， 如 下 : 


每 个 参与 者 选择 一 个 大 的 任意 字符 串 。 爱 丽 丝 选 x， 鲍 勃 选 y， 
卡 罗 尔 选 z。 

每 个 参与 者 发 布 对 应 的 哈 布 函 数值 HIx) 、H(y) 、H(z) 。 

每 个 参与 者 验证 H(x) 、H(y) 、H(z) 具有 明显 的 差异 性 〈 和 否则 放 
弃 这 个 协议 ) 。 

第 二 回合 : 

三 个 参与 者 分 别 披露 他 们 所 选 的 字 和 

每 个 参与 者 查证 这 些 字符 串 是 否 与 第 一 回合 里 发 布 的 陶 数 值 相 
吻合 。 


最 后 的 输出 是 (xtytz) %3。 


符 串 x、y 和 z。 


这 种 数据 协议 之 所 以 能 成 功 是 因为 以 下 因素 : 第 一 ， 因 为 函数 的 输 
入 x，y，z 是 大 的 任意 数 ， 没 有 人 可 以 在 第 一 回合 之 后 预测 其 他 人 的 输 
入 ; 第 二 ， 如 果 爱 丽 丝 按照 规则 任意 地 选择 她 的 输入 ， 她 可 以 相信 ， 不 
管 鲍 式 和 卡 罗 和 尔 是 人 否 选择 了 随机 数 ， 节 后 的 输出 结果 也 是 随机 的 。 


公平 性 


要 是 有 人 不 披露 约定 怎么 办 ? 在 这 个 协议 的 第 二 回合 里 ， 假 设 卡 多 
尔 一 直 等 到 爱丽 丝 和 人 鲍 动 披露 他 们 的 秘密 随机 数 ， 然 后 ， 在 披露 之 前 ， 
意识 到 她 会 输 掉 这 一 局 ， 她 就 有 可 能 拒绝 公布 她 的 随机 数 一 一 她 可 以 说 
她 筷 记 了 或 是 假装 下 线 。 爱 丽 丝 和 鲍 勃 可 能 会 怀疑 ， 但 他 们 也 没有 什么 
好 的 办 法 去 退伍 。 


我 们 所 要 做 的 是 立 下 一 个 规 窍 : 参与 者 大 是 做 出 承 话 ， 则 必须 在 一 
定 的 时 间 内 披露 所 选 的 随机 数 。 在 密码 学 里 ， 这 个 特性 叫 作 公平 性 。 比 


特 币 提供 了 一 个 非 第 好 的 解决 方法 。 


比如 爱丽 丝 想 要 做 出 一 个 有 时 限 的 约定 承 话 ， 但 鲍 动 是 唯一 对 此 有 
顾虑 的 。 第 一 ， 爱 丽 丝 先 设置 一 定 的 保证 金 ， 比 特 币 支出 交易 的 脚本 可 
以 用 来 规定 ， 这 笔 保 证 金 只 能 用 以 下 两 种 文 付 情形 : 第 一 种 文 付 情形 是 
必须 同时 有 爱丽 丝 和 鲍 动 两 人 的 共同 签名 ; 第 二 种 支付 情形 是 只 要 爱丽 
丝 披露 了 她 的 随机 数 ， 以 后 消费 这 笔 交 易 ， 束 只 需要 有 爱丽 丝 的 签名 。 
如 果 爱 丽 丝 所 选择 的 随机 字符 串 是 x， 那 么 输出 脚本 (ScriptPubkey) 会 
包括 蛤 希 函 数 H(x) 的 值 。 


接 下 来 ， 爱 丽 丝 和 人 鲍 动 会 同时 签 下 一 个 交易 ， 把 这 个 保证 金 文 付 给 
鲍 动 (两 种 情形 之 一 ) 。 但 为 什么 爱丽 丝 会 同意 这 样 做 呢 ? 这 个 交易 融 
有 一 个 nLockTime 值 来 保障 鲍 动 不 能 在 时 间 点 t 之 前 来 赎 取 保证 金 。 因 
为 ， 在 此 时 间 之 前 ， 爱 丽 丝 只 要 愿意 拔 露 她 的 约定 随机 值 ， 她 就 可 以 屿 
回 这 个 保证 金 ， 所 以 她 的 这 个 签名 交易 是 安全 的 。 见 图 9.5。 

ScriptPubKey: 
OP_IF 
<AlicePubKey> OP_CHECKSIGVERIFY <BobPubKey> OP_CHECKSIG 
OP_ELSE 


<AlicePubKey> OP_CHECKSIGVERIFY OP_HASH <H(x)> OP_EQUAL 
OP_ENDIF 


scriptSig for Case 1: 

<BobSignature> <AliceSignature> 6 
scriptSig for Case 2: 

x <AliceSignature> 1 


图 9.5 在 有 时 限 的 哈 硕 函数 约定 中 使 用 输出 脚本 和 输入 脚本 的 交易 输出 
如 果 爱 丽 丝 在 弃 局 之 前 没有 披露 她 的 约定 随机 数值 ， 那 么 饱 勃 就 可 


以 在 时 间 点 t 之 后 赎 取 该 保证 金 。 没 有 人 吉 迫 爱丽 丝 披露 她 的 随机 数 ， 
但 如 果 她 不 披露 ， 她 会 因此 失去 预 设 的 保证 金 。 


我 们 如 何 用 这 个 有 时 限 的 函数 约定 来 实现 安全 的 博彩 系统 ? 其 实 ， 
架构 和 之 前 几乎 一 样 ， 差 别 在 于 ， 我 们 不 再 采用 简单 的 函数 约定 ， 而 是 


采用 有 时 限 的 函数 约定 。 任 何 一 方 ， 要 赎 回 这 笔 保证 金 就 必须 把 正确 的 
随机 数值 x 披 露出 来 ; 如 果 在 最 后 期 限 到 来 时 还 不 披露 出 他 的 随机 数 
值 ， 束 会 放弃 他 的 保证 金 ， 以 用 来 补偿 其 他 两 个 玩家 。 


可 以 在 比特 币 系 统 上 实施 这 个 博彩 系统 。 但 这 个 系统 有 些 复杂 ， 而 
且 有 时 限 的 函数 约定 还 要 求 多 个 非 标准 的 交易 。 当 系统 里 有 n 个 玩家 的 
时 候 ， 由 于 每 个 玩家 都 要 设置 一 笔 保 证 金 ， 我 们 需要 mw 个 约定 ， 此 外 玩 
家 们 还 不 得 不 投入 比 全 部 赌注 更 多 的 资金 用 来 托管 保证 金 。 但 对 于 参与 
者 较 少 的 游戏 来 说 ， 这 是 合理 的 ， 并 且 有 更 好 的 效 紊 。 最 重要 的 是 ， 这 
个 洲 戏 验证 了 本 来 认为 不 可 能 的 数据 交换 协议 ， 比 如 在 线 掷 虚拟 硬币 ， 
并 对 不 巡 守 规则 的 玩家 进行 人 惩罚， 在 比特 币 的 世界 里 是 可 以 做 到 的 。 


9.4 比特 币 作 为 一 个 公共 的 随机 源 


在 上 一 市 ， 我 们 展示 了 一 群 人 如 何 选择 一 个 公平 的 随机 数 。 在 这 一 
节 里 ， 我 们 将 讨论 如 何 用 比特 币 来 产生 一 个 对 任何 人 都 公平 的 公共 随机 
数 。 为 什么 我 们 需要 一 个 公共 随机 数 ? 让 我 们 先 看 一 下 几 个 现实 中 已经 
存在 的 依赖 公共 随机 数 的 案例 。 


NBA 新 人 选秀 


其 中 一 个 例子 就 是 每 年 春天 的 美国 NBA 联 赛 的 新 人 选秀 大 乐 透 。 
NBA 联 盟 中 所 有 的 30 文 球 队 聚集 在 一 起 ， 根 据 上 赛季 每 个 球 队 的 赛季 排 
名 增加 相应 的 权重 ， 随 机 选择 球 队 选 郁 顺 序 。 在 1985 年 ， 联 盟 首 次 采取 
这 种 方法 进行 选秀 ， 乐 透 选 郁 的 过 程 通 过 电视 现场 直播 ， 包含 球 队 名 字 
的 信封 在 一 个 透明 的 转盘 里 被 充分 打 乱 ， 委 员 会 专员 随后 去 挑选 这 些 信 
封 。 因 为 纽约 尼克 斯 (Knicks) 队 获得 了 当年 的 状元 邦 中 锋 由 特 里 元 : 尤 因 
(Patrick Ewing) ， 最 终 尤 因 也 确实 成 为 NBA 名 人 径 的 一 员 ， 当 时 这 个 
乐 透 的 产生 引起 了 不 小 的 争议 。 由 于 那 次 的 乐 透 肥 生 在 纽约 ， 其 他 球 队 
的 球迷 宣称 整个 过 程 被 人 操纵 ， 并 仿 问 尼克 斯 队 。 


有 很 多 有 关 NBA 是 如 何 操纵 选秀 过 程 的 阴谋 论 ， 比 如 著名 的 “ 折 
角 ” 论 (“bent corner”theory) 是 说 包含 有 尼克 斯 的 信封 有 一 个 角 被 故意 
折 这 了 ， 这 样 委员 会 专员 通过 触摸 就 可 以 分 辨 出 哪个 信封 是 尼 殉 斯 的 。 
男 外 一 个 论调 是 说 尼克 斯 的 信封 之 前 被 放 在 了 冷冻 室 里 ， 这 样 专员 可 以 
通过 选择 一 个 手感 比较 冷 的 信封 来 挑选 出 尼克 斯 从。 这 些 论 调 都 反映 了 
一 个 事实 ， 这 种 类 型 的 选择 要 做 到 绝对 公平 是 非常 困难 的 ， 有 很 多 合乎 


推理 的 作 星 空间 ， 想 象 一 下 一 个 职业 魔术 师 的 巧 手 可 以 做 些 什么 ! 直到 
今天 ， 选 秀 乐 透 每 年 都 会 举行 ， 但 每 一 次 都 充斥 着 各 种 阴谋 论 和 谣言 
以 说 明 选 秀 并 不 是 绝对 公平 的 。 


美国 车 队 选 秀 


另 一 个 更 加 严肃 的 案例 是 1969 年 的 美国 征兵 选秀 ， 用 于 决定 哪些 年 
轻 人 会 去 参军 ， 大 部 分 被 选中 的 人 事后 都 极 派 去 参加 了 越南 战争 。 同 样 
使 用 了 一 个 类 似 于 NBA 选 秀 的 方法 ， 由 美国 国会 派出 的 代表 来 主持 选秀 
并 通过 电视 直播 〈 如 图 9.6) 。 他 们 在 一 个 大 的 塑料 桶 中 放 了 很 多 小 
球 ， 每 个 小 球 包 含 了 一 个 数字 ， 然 后 轮流 从 桶 中 把 这 些 数字 小 球 取出 
来 ， 根 据 数 字 所 代表 的 生日 来 决定 优先 级 ， 根 据 这 个 优先 级 挑选 合格 的 
年 轻 人 参军 。 


图 9. 6 1969 年 〈 越 战 ) 军队 选秀 


1969 年 的 这 次 征兵 选秀 ， 是 首次 在 全 国 范围 内 采用 乐 透 方式 进行 选 
秀 。 其 目的 是 通过 避 开 数 以 千 计 的 本 地 征兵 委员 会 ， 以 使 选拔 过 程 更 加 
公平 ， 并 且 同 公众 公开 这 个 过 程 。 但 遗憾 的 是 ， 这 个 选秀 乐 透 也 演 砸 
了 ， 不 到 一 个 星期 ， 概 率 专 家 通过 数据 调查 分 析 注 意 到 了 一 个 特别 的 村 
式 《 如 图 9.7 所 示 〉: 出 生 于 下 半年 的 人 被 选中 的 优先 级 较 低 。 虽 然 这 


种 差异 非常 细微 ， 但 是 从 概率 统计 上 是 非常 显著 的 ， 说 明 这 不 太 可 能 是 
偶然 事件 。 当 他 们 回 看 现场 录像 的 时 候 ， 发 现 每 次 转动 转盘 的 次 数 恰恰 
都 是 偶数 次 ， 这 意味 着 一 开始 是 上 层 的 小 球 有 较 大 的 概率 一 直 留 在 上 
层 ， 说 明 为 了 形成 随机 抽签 的 混合 程序 并 不 充分 。 


这 两 个 案例 都 证 明了 ， 设 计 一 个 公众 认可 的 随机 过 程 并 由 此 产生 一 
个 认可 的 公共 随机 数 ， 是 十 分 困难 的 。 无 论 你 采用 什么 方法 ， 总 有 人 怀 
疑 你 作弊 。 风 险 在 于 : 这 个 随机 过 程 可 能 会 被 操作 -即便 这 个 过 程 是 
真正 随机 的 ， 但 公众 并 不 信任 它 。 了 


图 9.7 1969 年 征兵 选秀 的 概率 统计 偏差 
注 : x 轴 代表 日 期 ，y 轴 代表 选秀 号 码 。 


密码 学 “信号 塔 


由 于 成 本 低 ， 并 且 大 众 易 于 理解 ， 用 转盘 、 抛 硬币、 撕 般 子 等 方法 
去 展示 公开 随机 性 ， 在 历史 上 一 直 比 较 普 过 。 但 是 这 些 方 法 非常 难以 审 
计 ， 因 此 并 不 适用 于 大 范围 的 场景 。 即 使 整个 过 程 从 视频 上 看 起 来 是 合 
法 的 ， 人 们 也 有 理由 去 怀疑 乐 透 的 执行 者 可 以 使 用 “魔术 师 之 手 ”" 去 操纵 
结果 。 


那么 ， 通 过 密码 学 的 办 法 ， 我 们 是 否 可 以 做 得 更 好 ? 这里， 我 们 用 
密码 学 “信号 塔 ? (cryptographic beacons) 来 特 指 一 个 提供 公共 随机 源 的 
服务 。 我 们 的 想法 是 “信和 号 塔 ” 会 源源 不 断 地 在 一 个 固定 的 频率 产生 随机 
数 ， 并 且 没 有 人 可 以 预测 这 些 随机 数 。 只 要 大 家 同意 这 一 点 一 一 没 人 可 
以 预测 这 个 信号 塔 的 下 一 个 输出 ， 那 么 大 家 就 都 可 以 相信 其 生成 的 是 一 
个 真正 的 随机 数 。 


一 个 完美 的 密码 学 信和 号 措 可 以 服务 于 各 种 公开 乐 透 项 目 ， 比 如 上 面 
两 个 例子 。 如 果 你 想 要 在 本 地 的 俱乐部 玩 一 个 宾 条 〈Bingo) 游戏 三 ， 
你 再 也 不 需要 用 一 个 大 的 转盘 来 产生 随机 性 了 。 只 要 每 个 人 都 信任 信和 号 
塔 ， 就 不 要 用 物理 的 方法 来 展示 随机 性 了 ， 这 会 省 去 很 多 麻烦 。 


密码 学 专家 提出 了 很 多 其 他 的 公共 随机 源 的 应 用 方案 ， 包 括 投票 系 
统 、 零 知识 验证 、 分 割 选择 协议 等 。 如 果 你 有 一 个 完美 的 密码 学 信号 
塔 ， 其 中 很 多 方案 都 会 变 得 非常 简单 有 效 。 但 遗憾 的 是 ， 截 至 目前 ， 我 
们 还 没有 找到 一 个 完美 的 方案 去 打造 这 样 一 个 信号 塔 。 


NIST 信 号 塔 


NIST， 即 美国 国家 标准 与 技术 研究 所 (National Institute of Standard 
and Technology) 。 从 2011 年 开始 ，NIST 运 行 了 一 个 它们 自己 的 信号 塔 
服务 。 它 们 声称 用 了 一 个 非常 复杂 的 实验 室 装 置 来 产生 随机 数 ， 甚 至 动 
用 了 两 个 纠缠 态 光 子 。 由 于 随机 数 是 由 量子 力学 现象 产生 的 ， 那 么 理论 


上 这 个 数字 可 以 保证 非常 强 的 随机 性 。 如 果 你 认可 海 森 堡 不 确定 性 原理 
(Heisenberg uncertainty principle〉 和 其 他 一 些 被 广泛 接受 的 物理 学 原 
理 ， 那 么 你 就 会 相信 这 个 信号 塔 产 生 的 数 是 真正 随机 的 ， 并 且 不 可 预 
测 。NIST 信 号 塔 服务 可 以 每 60 秒 产生 一 个 附 帝 有 数据 签名 的 随机 数 ， 
并 提供 一 个 非常 便利 的 程序 接口 一 一 服务 可 以 通过 网 页 来 访问 并 返回 随 
机 数 。 


从 某 种 意义 上 说 ，NIST 信 号 塔 代表 了 从 物理 上 展示 随机 性 的 极 
限 ， 但 无 法 解决 一 个 基本 的 信任 问题 一 一 你 必须 信任 NIST 确 实 是 通过 
它们 所 宣称 的 这 些 程序 来 产生 随机 数 的 ， 你 必须 信任 在 马里 兰州 的 某 一 
个 建筑 里 面 ，NIST 确 实用 它们 的 实验 室 来 产生 这 些 随机 数 ， 而 不 是 伪 
造 的 ， 你 还 必须 信任 它们 确实 没有 能 力 故 意 重 写 其 中 一 些 随机 数 。 


打造 一 个 信号 塔 的 其 他 潜在 方法 : 目 然 现象 


我 们 是 人 否 可 以 使 用 一 些 每 个 人 都 可 以 观测 到 的 目 然 现 象 来 实现 信和 号 
塔 ? 或 者 我 们 可 以 使 用 天 气 的 一 些 细节 ， 比 如 在 东 天 某 个 特定 地 点 的 慢 
度 ， 或 者 是 风力 的 强度 ， 或 者 是 否 会 下 雨 。 当 然 ， 我 们 有 能 力 去 提前 预 
汕 天 气 ， 但 是 预测 的 结果 并 不 是 非 党 精确， 所 以 我 们 可 以 使 用 这 些 测量 
值 的 “最 低 有 效 位 *。 但 是 这 个 方法 也 有 局 限 性 ， 那 就 是 需要 所 有 的 参与 
者 在 同一 个 地 扣 做 同样 的 测量 


> 


为 了 避免 这 个 问题 ， 我 们 可 以 利用 太阳 黑子 ， 一 种 太阳 表面 的 爆发 
活动 〈 见 图 9.8) 。 妃 外 一 个 例子 是 宇宙 背景 辐射 ， 通 过 广播 天 线 ， 你 
可 以 从 地 球 上 的 任意 一 扣 帮 可 以 监测 到 这 个 数据 ， 而 且 每 个 人 都 可 以 读 
取 到 同样 的 数值 。 这 些 痢 是 超大 范围 发 生 的 现象 ， 很 容易 疝 公众 证 明 没 
有 其 他 人 可 以 操纵 这 个 过 程 。 想 象 一 下 ， 东 人 军 越 宇宙 到 达 太 阳 表 面 ， 
敌后 用 从 种 从 法 冯 影 响 穴 阳 黑 了 现象 ， 而 其 目的 仅仅 是 为 了 操纵 地 球 上 
的 茶 个 乐 透 项 目 ， 这 显然 是 不 现实 的 。 所 以 上 述 这 些 方法 都 有 很 好 的 特 


性 : 公众 可 观测 性 、 可 防止 被 操纵 性 ， 以 及 一 个 可 接受 的 不 可 预测 性 。 


图 9.8 NASA 太 阳 黑 子 照 片 


但 上 述 这 些 方法 都 有 一 个 共同 的 问题 ， 就 是 生成 随机 数 太 慢 了 。 例 


如 ， 如 果 随 机 信号 是 当日 最 高 温度 ， 那 么 你 每 天 只 能 获取 一 次 这 样 的 数 
值 ， 太 阳 表 面 也 不 是 经 常 变化 ， 在 很 多 密码 学 应 用 中 ， 随 机 数 通 常 作为 
伪 随 机 数 发 生 器 (Pseudo-Random Generator， 简 称 PRG) 的 输入 ， 从 安 
全 角度 考虑 ， 这 些 输 入 通常 需要 达到 80 比 特 位 长 度 ， 甚 至 更 多 ， 但 如 果 
以 天 气 或 者 天 文学 为 数据 源 ， 那 我 们 可 能 需要 很 长 时 间 才 能 积累 到 80 位 
长 度 的 随机 数 。 


另外 ， 观 测 太 阳 黑 子 现象 这 种 方法 还 需要 专业 技能 ， 所 以 你 还 需要 
依赖 一 些 可 信任 的 专业 观测 者 来 获取 这 些 测量 数据 。 由 于 有 很 多 这 样 的 
可 信任 的 观测 者 ， 我 们 也 希望 他 们 “互相 之 间 有 诚信 ”。 信 号 塔 的 应 用 
者 ， 或 者 说 是 这 些 应 用 的 用 户 ， 可 以 随时 选择 并 葵 换 观测 者 。 这 个 特性 
被 称 为 “信任 的 敏捷 性 *， 相 比 于 NIST 是 提供 信号 塔 服务 的 单一 机 构 ， 这 
个 特性 更 加 优越 。 


还 有 更 深层 次 的 问题 ， 昌 然 这 个 问题 看 起 来 可 能 微不足道 ， 那 就 
是 ， 我 们 是 否 可 以 找到 一 个 方法 ， 它 可 以 使 一 个 现实 世界 的 观测 数据 
一 一 例如 温度 、 太 阳 黑 子 图 一 一 转变 为 一 个 数据 字符 串 ， 并 且 它 还 需要 
你 证 每 一 个 观测 者 都 获得 相同 的 字符 串 ? 我 们 可 以 尝试 数字 化 这 个 观测 
数据 : 比如 ， 我 们 用 华氏 度 来 插 述 温度 ， 并 使 用 第 一 个 十 进 制 数位 作为 
信号 塔 的 输出 ， 但 是 除非 每 一 个 观测 者 的 温度 计 都 是 不 可 思议 的 精准 ， 
否则 就 会 出 现下 面 的 情形 ， 有 些 观测 者 读 取 的 温度 “比如 〉 是 62.7， 而 
另外 一 些 人 读 取 的 则 是 62.8。 目 前 看 来 ， 不 管 我 们 选择 哪 种 自然 现象 或 
者 采用 哪 种 协议 ， 我 们 都 会 遇 到 这 种 “极端 情况 ”。 对 于 一 个 密码 学 信号 
塔 ， 即 使 测量 值 出 现 非 连续 性 的 可 能 性 非常 小 ， 那 也 是 无 法 接受 的 ， 因 
为 这 有 可 能 使 得 PRG 产 生 的 随机 数 变 得 完全 不 同 。 


金融 数据 


还 有 一 个 类 似 的 想法 是 使 用 金融 数据 作为 数据 源 ， 比 如 股票 市 场 价 
格 指数 。 同 样 ， 这 些 是 公开 的 可 观测 的 数值 ， 而 不 像 目 然 现象 ， 这 些 金 
融 数据 本 喘 就 是 用 数字 来 呈现 的 ， 所 以 不 会 因为 观测 者 不 同 ， 产 生 数 气 
不 一 致 的 问题 ， 同 时 ， 我 们 有 很 好 的 理由 相信 ， 股 票 价格 的 小 波动 是 很 
难 预测 的 : 如 宁 你 可 以 预测 纽约 证 交 所 某 一 只 股票 的 交易 价格 ， 并 且 精 
确 到 美 分 级 别 ， 你 残 会 成 为 一 个 非常 赚钱 的 日 内 交易 员 。 某 些 人 可 以 通 
过 买卖 股票 ， 去 操纵 股票 价格 到 茶 一 个 特定 的 数值 ， 但 这 需要 巨大 的 成 
本 。 


但 是 ， 这 种 方法 也 需要 依赖 某 一 个 信任 方 ， 比 如 股票 交易 所 。 即 使 
股票 交易 所 本 映 有 很 强 的 意愿 去 建立 自己 的 诚信 ， 但 如 果 让 它们 操纵 一 
个 非常 有 利 可 图 的 乐 透 ， 那 么 它们 束 有 可 能 去 答 试 改变 股票 价格 《〈 例 
如 ， 通 过 插入 自己 的 买卖 单 ) 。 


截至 目前 讨论 的 方法 ， 似 乎 很 难 去 规避 信任 方 的 问题 ， 而 这 个 信任 


方 却 是 可 以 在 整个 过 程 中 的 菜 些 关键 环节 对 结果 施加 重要 影响 的 。 


用 比特 币 作为 一 个 “信号 塔 ” 


笠 运 的 是 ， 把 中 央 权 威 从 数据 交换 协议 中 剥离 出 来 ， 在 之 前 认为 几 
乎 是 不 可 能 的 任务 ， 而 比特 币 是 很 有 希望 实现 这 一 任务 的 技术 ， 而 这 也 
征 本 书 的 中 心思 想 之 一 。 我 们 是 否 可 以 把 比特 币 作为 一 个 生成 随机 数 
的 “信号 塔 ? 呢 ? 我 们 想 要 从 比特 币 的 区 块 链 里 摘 取 随机 数 ， 与 此 同时 保 
留 比 特 币 所 有 去 中 心 化 的 特点 ， 正 是 这 些 特点 使 比特 币 如 此 吸引 人 。 


我 们 回忆 一 下 ， 矿 工 必 须 计算 大 量 的 随机 哈 希 函数 来 找到 一 个 有 效 
区 块 。 或 许 这 意味 着 没有 人 可 以 不 经 过 挖 矿工 作 就 能 预测 或 是 影响 下 一 
个 区 块 的 生成 。 当 然 ， 任 何 一 个 区 块 的 哈 希 函数 结果 的 最 初 几 个 字 节 都 
古 零 ， 但 是 在 合适 的 假设 下 ， 唯 一 可 以 预测 剩余 位 数 的 比特 值 的 方法 可 
能 是 找到 一 个 胜出 有 效 区 块 ， 然 后 选择 性 丢弃 它 “ 见 图 9.9)。 
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图 9.9 比特 币 像 灯塔 一 般 
注 : 我 们 可 以 通过 使 用 随机 提取 功能 ， 提 取 公 共 随 机 数据 ， 标 注 区 块 链 上 的 各 个 区 
块 。 


这 样 一 来 ， 把 区 块 链 变 成 一 个 随机 数 “ 信 号 塔 ?成 了 一 件 简 单 的 事 。 
在 区 块 链 上 的 每 一 个 区 块 上 ， 我 们 在 区 块头 部 设置 一 个 “随机 数 抽取 


需 "”。 随 机 数 抽取 堪 ， 其 实 就 是 一 个 哈 希 图 数 ， 这 个 哈 硕 函 数 把 所 有 的 
和 输入 随机 炳 均匀 地 压缩 成 一 个 随机 字符 串 。 每 次 只 要 友 表 一 个 区 其 ， 我 
们 就 有 了 一 个 新 的 随机 信号 输出 。 


评估 比特 币 “ 信 号 塔 ?的 安全 性 


假设 你 参加 一 个 乐 透 抽 奖 ， 这 个 抽奖 的 结果 是 由 未 来 将 要 产生 的 、 
一 个 预先 设 定 的 、 位 于 高 度 h 的 茶 个 区 块 的 输出 所 决定 的 。 这 个 乐 透 抽 
奖 有 NN 个 参与 者 ， 每 个 参与 者 都 下 注 了 B 个 比特 币 ， 如 果 你 也 是 一 名 砂 
工 ， 我 们 再 假设 ， 你 幸运 地 找到 了 一 个 区 块 h 的 函数 解 谜 的 答案 ， 你 束 
可 以 选择 发 表 或 是 不 发 表 这 一 区 块 。 如 果 你 不 喜欢 从 这 个 区 块 里 产生 的 
抽奖 的 结果 ， 你 可 以 轻易 地 丢弃 这 一 区 块 ， 然 后 让 其 他 找到 这 个 区 块 的 
人 来 决定 这 个 抽奖 结果 ， 但 同时 ， 你 必须 放弃 因为 找到 这 个 区 块 所 带 来 
的 收入 。 


让 我 们 计算 一 下 ， 下 注 的 数额 B 值 需要 多 大 ， 才 值得 考虑 放弃 区 块 
本 身 的 奖励 。 如 果 你 成 功 地 找到 了 一 个 位 于 高 度 h 的 区 块 来 决定 抽奖 的 
结果 ， 然 后 意识 到 ， 如 果 你 发 表 了 这 个 结果 ， 你 肯定 会 输 反 抽奖 ;如果 
你 扔 挥 这 块 ， 你 还 是 有 UN 的 概率 来 启 得 BxN 比 特 币 ， 这 就 意味 着 ， 如 
果 你 期 望 的 抽奖 奖励 (MLN)xBxN 比 特 币 比 挖 矿 所 获得 的 25 个 比特 币 奖励 
要 大 的 话 ， 那 么 放弃 区 块 奖励 是 合理 的 〈 在 2015 年 ， 如 果 不 考虑 交易 费 
的 话 ， 区 块 奖励 大 概 是 25 个 比特 币 ) ， 所 以 如 果 B 大 于 25， 这 种 丢弃 策 
略 就 是 有 利 可 图 的 。 在 2015 年 中 多，25 个 比特 币 价值 大 约 在 5 ” ”000 美元 
左右 。 所 以 如 果 每 个 玩家 下 注 不 到 5 ”000 美元 的 话 ， 并 且 假 设 每 个 玩家 
都 是 理智 的 ， 那 么 这 个 乐 透 抽奖 是 可 以 抵抗 放弃 有 效 区 块 这 种 攻击 的 。 


另 一 大 优点 是 这 是 一 个 完全 去 中 心 化 的 信号 源 ， 没 有 一 个 中 心 化 的 
信托 方 。 比 起 其 他 几 个 信号 源 的 方案 ， 它 的 处 理 速度 相当 快 ， 大 概 每 10 
分 钟 就 产生 一 个 输出 。 然 后 通过 上 述 的 简单 模型 ， 我 们 可 以 估计 一 个 攻 


击 者 想 要 操纵 信号 源 输出 所 需要 付出 的 代价 。 


用 比特 币 作为 信号 塔 办 法 的 一 个 缺点 是 ， 不 能 精确 定时 。 比 如 ， 假 
设 我 们 想 要 在 明天 正午 读 取 这 个 信号 源 的 值 ， 但 我 们 无 法 知道 哪个 区 块 
在 哪个 时 点 会 生成 最 新 的 一 个 区 块 。 虽 然 平均 来 说 ， 在 正午 之 前 或 之 后 
的 10 分 钟 内 一 定 会 有 一 个 区 块 被 公布 ， 但 这 还 是 会 有 误 兰 。 如 采 我 们 想 
降低 目标 区 块 在 一 个 短 分 又 事件 中 丢失 的 可 能 性 ， 我 们 还 要 对 有 可 能 友 
生 的 延迟 有 所 准备 。 在 比特 币 世界 里 ， 通 常情 况 下 要 等 6 个 区 块 〈60 分 
钟 ) 后 ， 才 能 确信 这 个 信号 值 是 真正 地 被 确认 了 。 


另 一 个 缺陷 是 ， 相 对 来 说 ， 操 纵 这 个 信号 值 所 需 的 代价 可 能 还 是 太 
低 。 如 果 我 们 用 这 个 方法 来 实行 NBA 选 秀 ， 由 于 其 中 可 能 涉及 几 千 万 美 
元 利益 ， 球 队 顿 时 就 有 了 贿赂 矿工 来 操纵 选秀 过 程 的 动力 。 所 以 ， 当 涉 
及 巨额 资金 时 ， 这 个 方法 是 否 有 效 仍 值得 探讨 。 


最 后 ， 我 们 的 安全 评估 忽略 了 一 些 现实 生活 中 的 因素 。 比 如 ， 对 于 
加 入 某 一 个 矿 池 的 矿工 来 说 ， 于 弃 一 个 有 效 区 块 并 不 会 让 他 损失 很 多 
钱 ， 因 为 他 们 是 根据 贡献 算 力 的 比例 ， 而 不 是 区 块 来 领取 奖励 的 。 所 
以 ， 比 特 币 信号 搭 目前 还 是 一 个 有 趣 但 没有 被 证 明 的 想法 。 


脚本 语言 对 信号 塔 的 支持 


如 果 我 们 扩展 比特 币 的 脚本 语言 功能 ， 加 入 一 个 特殊 的 操作 码 
(Copcode) 来 读 取 比 特 币 信号 呢 ? 按照 最 初 的 设计 ， 现 在 的 比特 币 脚本 
语言 没有 任何 办 法 去 实现 任何 随机 性 ， 因 为 矿工 必须 验证 脚本 ， 而 且 一 
个 脚本 的 有 效 性 需要 获得 所 有 矿工 的 认可 ， 但 如 果 我 们 用 了 信和 号 塔 产生 
的 随机 数 ， 由 于 这 是 一 个 可 被 证 明 的 公共 随机 数 ， 把 这 个 随机 数 加 入 区 
易 脚本 中 ， 矿 工 就 容易 随机 性 地 达成 共识 。 


假设 我 们 有 一 个 操作 码 可 以 做 一 个 随机 的 决定 ， 这 个 决定 是 基于 上 
个 区 块 的 信号 塔 输出 的 。 我 们 可 以 把 整个 复杂 的 抽奖 数据 协议 用 一 个 肢 
本 来 葵 代 一 一 读 信号 塔 的 随机 数值 ， 然 后 把 该 输出 分 派 到 n 个 密 钥 中 的 
一 个 。 这 需要 有 多 回合 的 数据 协议 安全 保证 或 是 有 时 效 的 函数 约定 。 


这 个 想法 的 一 个 缺点 是 ， 为 矿工 操纵 抽奖 提供 了 可 能 性 ， 如 下 他 们 
发 觉 挖 到 的 这 一 个 区 块 里 的 交易 会 让 他 们 输 掉 这 个 抽奖 ， 他 们 就 会 简单 
地 将 抽奖 交易 延迟 至 后面 的 一 块 出 现 。 但 是 我 们 可 以 对 信和 号 塔 的 操作 码 
做 一 个 小 小 的 调整 来 防御 这 类 攻击 ， 也 就 是 说 ， 你 不 是 用 上 一 个 区 块 ， 
而 是 使 用 茶 一 个 特定 电 度 的 区 块 所 产生 的 信号 塔 随机 数 。 


所 以 一 个 公平 的 不 受 操纵 的 公共 随机 源 是 一 个 公共 福 社 ， 而 比特 币 可 以 做 到 这 一 
点 ， 因 为 它 是 去 中 心 化 的 。 一 一 译 者 注 

2. ”Bingo 是 一 种 填写 格子 的 游戏 ， 在 游戏 中 第 一 个 成 功 者 以 喊 “Bingo” 表 示 取 胜 而 得 名 。 
一 一 译 者 注 


9.5 预测 市 场 和 真实 世界 的 数据 源 


作为 本 章 的 最 后 一 个 论题 ， 我 们 现在 来 看 一 下 如 何 利用 加 密 数字 货 
币 ， 以 去 中 心 化 的 方式 来 实现 一 个 预测 市 场 ， 与 此 相关 ， 如 何 把 真实 世 
界 的 数据 导入 比特 币 系 统 。 


在 预测 市 场 中 ， 人 们 可 以 在 一 起 对 未 来 的 事件 进行 下 注 ， 比 如 体育 
比赛 或 是 选举 。 对 于 事件 及 生 的 每 一 个 结果 ， 参 与 者 可 以 买卖 和 交易 相 


应 的 “份额 ”。 
表 9.1 2014 年 世界 杯 期 间 球 队 选择 的 预测 表 (数字 代表 在 每 个 阶段 下 注 某 支 球 队 捧 
杯 所 需 花费 的 美元 ) 
球 队 德国 阿根廷 巴西 美国 英格兰 荷兰 
赛事 之 前 。 0.12 0. 09 0.22 0. 01 0.05 0. 03 
小 组 赛 后 。 “0.18 0. 15 0.31 0. 06 0.00 0.05 
半 决 赛 前 ”0.26 0.21 0. 45 0.00 0.00 0. 08 
决赛 前 0. 64 0.36 0. 00 0. 00 0.00 0. 00 
决赛 后 1 0 0 0 0 0 


注 : 押 注 美国 队 赢得 世界 标的 价格 在 美国 队 小 组 表现 出 色 后 ， 从 1 美 分 上 升 到 6 美 
分 。 当 巴西 打 进 半 决 赛 后 ， 其 赌注 价格 上 升 到 了 45 美 分 ， 而 当 巴 西 队 输 掉 半 决 赛 
这 份 财 注 变 得 毫 无 价值 。 最 后 只 有 德国 队 的 赌注 才 有 价值 ， 因 为 他 们 赢得 了 冠 


我 们 用 一 个 案例 来 详细 解释 一 下 预测 市 场 背后 的 概念 ， 使 其 更 加 清 
晰 。2014 年 的 世界 杯 在 巴西 举行 ， 假 设 有 一 个 市 场 ， 你 可 以 买卖 每 个 队 
的 赌注 。 最 终 冠军 队 的 赌注 是 1 元 ， 而 其 他 队 的 都 是 0。 比 赛 开始 之 后 ， 
根据 市 场 认 为 每 个 队 最 后 能 万 得 冠军 的 概率 ， 每 个 球 队 的 赌注 部 会 有 一 
个 价格 。 表 9.1 就 是 五 个 队 的 赌注 价格 情况 。 


在 比赛 前 ， 德 国 队 赌注 的 交易 价格 是 12 美 分 ， 意 味 看 市 场 觉 得 德国 
队 大 约 有 129% 的 机 会 获得 最 后 的 冠军 。 当 比赛 进行 的 时 候 ， 这 些 赌注 价 
格 会 上 下 波动 ， 反 映 了 市 场 参 与 者 对 每 个 队 最 终 获 胜 的 信心 。 


在 我 们 的 案例 中 ， 英 国 队 赌注 本 来 的 区 易 价 是 5 美 分 ， 但 后 来 变 成 
了 0， 因 为 英国 队 没 有 小 组 出 线 ， 他 们 已 经 不 可 能 取得 最 终 的 胜利 ， 价 
格 也 相应 地 反映 了 这 一 点 。 与 之 相反 的 是 ， 美 国 队 最 初 被 认为 很 难 从 小 
组 出 现 ， 但 是 结果 他 们 的 小 组 赛 表 现 却 相 当 不 错 ， 如 果 你 在 最 初 美国 队 
赌注 价格 非 第 便宜 的 时 候 (1 美 分 ) 买 了 它 ， 并 在 它 出 线 并 变 成 6 美 分 的 
时 候 马 上 卖 出 ， 你 就 可 以 拿 回 6 倍 于 你 最 初 的 投资 ， 而 不 需要 等 到 全 部 
比赛 完了 之 后 再 卖 出 。 虽 然 美 国 队 最 后 没有 说 得 世界 杯 ， 但 你 还 是 可 以 
在 美国 队 小 组 赛 表现 抢眼 的 时 候 ， 通 过 市 场 对 美国 队 的 信心 调整 来 获 
利 。 


半 决 赛 的 时 候 只 剩 下 四 文 队 伍 了 ， 由 于 美国 队 与 刺 国 队 都 被 淘汰 出 
局 ， 所 以 他 们 的 价格 都 是 零 。 每 个 剩 下 的 队 都 有 一 个 高 价位 ， 他 们 的 价 
格 之 和 是 1 美元 。 巴 西 队 价格 最 局， 因为 那 时 市 场 认 为 巴西 最 有 希望 
电 。 当 巴西 队 输 了 半 决 赛 的 时 候 ， 扎 的 价格 马上 变 成 了 零 。 在 两 个 小 时 
内 ， 市 场 对 其 信心 融 发 生 了 戏剧 性 的 改变 。 你 可 以 对 巴西 队 进行 一 个 卖 
空 或 者 去 买 其 他 球 队 。 


到 了 决赛 的 时 候 ， 只 剩 下 两 个 了 从。 它们 的 价格 总 和 还 是 1 美元 。 当 
然 到 最 后 ， 德 国 队 获 得 了 最 终 的 胜利 ， 也 只 有 德国 队 的 赌注 最 终 有 价值 
人 攻 二 1 


当然 还 有 一 个 获 利 的 办 法 就 是 ， 你 在 最 初 束 以 12 美 分 的 价格 买 下 德 
国 队 的 赌注 ， 然 后 一 直 持 有 到 最 后 ， 直 到 德国 队 获 胜 。 这 基本 上 是 传统 
体育 博彩 的 机 制 一 一 你 在 比赛 前 下 注 ， 然 后 在 比赛 胜利 后 收 钱 。 但 在 一 
个 预测 市 场 里 ， 有 很 多 其 他 办 法 可 以 进行 博彩 和 人 鳃 利 。 你 可 以 在 任何 时 
间 对 任何 球 队 下 注 ， 你 是 否 可 以 获 利 完全 取决 于 你 准确 地 预测 市 场 信心 
的 转变 ， 而 与 最 后 结果 无 关 。 


这 里 有 男 外 一 个 采 例 ， 这 次 是 一 个 完全 真实 的 预测 市 场 和 案例。 在 
2008 年 美国 大 选 之 前 ，Lowa 电 子 市 场 允 许 人 们 购买 份额 下 注 奥巴马 或 
者 麦 贞 恩 获取 最 后 的 大 选 胜利 。 如 图 9.10 所 示 ， 奥 巴 马 的 价格 显示 为 实 
线 ， 麦 地 恩 的 则 是 虚线 。 你 可 以 看 到 ， 随 肴 充 选 活动 的 开展 ， 人 们 对 谁 
将 最 终 获胜 的 信心 是 波动 的 ， 但 是 到 了 大 选 前 的 前 一 天 ， 奥 巴 马 当选 的 
概率 达到 了 90%， 在 最 终 投票 之 前 ， 预 测 市 场 对 结果 的 预 判 基本 上 已 经 
确定 了 。 
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图 9. 10 预测 市 场 份额 


WA 一 人 


注 : 对 于 2008 年 美国 总 统 大 选 预测 份额 的 价格 走势 图 。 
资料 来 源 : Lowa 电 子 市 场 


预测 市 场 的 力量 


经 济 学 家 对 预测 市 场 普 吉 非常 热情 ， 关 系 到 预测 未 来 事件 的 相关 
言 息 通 常 都 是 比较 分 散 的 ， 由 于 预测 市 场 提供 了 一 个 平台 ， 每 一 个 参 
与 者 都 可 以 利用 他 们 的 相关 知识 获 利 ， 因 此 它 形成 了 一 个 非常 好 的 可 
以 汇聚 这 些 信息 的 机 制 。 在 恰当 的 经 济 模型 中 ， 股 票 的 市 场 价格 可 以 
被 解读 为 最 终结 果 发 生 的 概率 ， 虽 然 真 实 的 预测 市 场 还 是 会 存在 偏 
天 。 根 据 经 验 来 看 ， 预 测 市 场 比 类 似 于 投票 调查 和 专家 论坛 之 类 的 其 
他 预测 方法 更 加 准确 。 


然而 ， 预 测 市 场 还 是 面临 很 多 合 规 性 方面 的 不 确定 性 和 障碍 ， 在 
2013 年 磁 到 合 规 性 问题 并 被 关 闭 之 前 ，Intrade 是 美国 最 受 欢迎 的 在 线 


预测 市 场 。 许 多 经 济 学 家 对 此 很 失望 ， 因 为 他 们 觉得 我 们 损失 了 一 个 
非 党 有 价值 的 可 以 揭示 未 来 的 社会 性 工具 。 


去 中 心 化 的 预测 市 场 


如 何 建立 起 一 个 去 中 心 化 的 预测 市 场 ? 我 们 必须 将 几 个 重要 的 任务 
去 中 心 化 。 我 们 需要 一 个 方法 来 搜集 和 发 放 资 金 ， 以 使 这 个 预测 市 场 能 
够 建立 ; 我们 还 需要 一 个 方法 来 确保 执行 正确 金额 的 资金 发 放 ， 我 们 特 
别 需 要 一 个 去 中 心 化 的 仲裁 机 构 ， 仲 裁 是 一 种 流程 ， 用 来 判决 哪个 结果 
是 真正 发 生 的 。 大 多 数 的 体育 比赛 和 国家 选举 ， 最 后 结果 都 显而易见 ， 
谁 说 谁 输 ， 一 目 了 然 ， 但 还 是 有 许多 灰色 地 带 。 我 们 还 需要 把 下 蛙 登 记 
系统 去 中 心 化 管理 ， 其 实 就 是 让 参与 方 直接 找到 交易 的 男 一 方 。 接 下 
来 ， 我 们 将 按 顺 序 来 讨论 这 些 挑 战 。 


让 我 们 来 设计 一 个 假想 中 的 被 称 为 “未 来 币 ”(Euturecoin ) 的 另类 
币 ， 专 为 预测 市 场所 用 。 我 们 需要 设计 一 些 交 易 类 型 实现 专 为 预测 市 场 
而 设 的 功能 ， 如 图 9.11 所 示 。 


CreateMarket (event_id, arbitrator_key, num_outcomes) 
创造 一 个 新 的 预测 ， 明 确 仲 裁 者 和 参数 
BuyPortfolio (event_id) 
为 每 个 未 来 币 的 结果 购买 一 份 周 注 
TradeShares (...) 
将 赌注 转化 为 未 来 币 
SellPortfolio (event_id) 
将 每 个 未 来 币 的 结果 兑现 赌注 
CloseMarket (event_id, outcome_id) 
通过 将 特定 情境 的 押 注 所 得 转 入 一 个 新 完成 的 未 来 币 ， 并 注销 所 有 其 他 情形 的 赌注 ， 
来 结束 特定 预测 市 场 
(outcome_id 是 一 个 介 于 1 和 该 特定 输出 num_outcomes 数 之 间 的 整数 ) 


图 9. 11 未 来 币 中 的 新 交易 类 型 
注 : 未 来 币 是 一 个 实现 了 去 中 心 化 的 预测 市 场 的 假想 的 另类 币 。 


CreateMarket 指 令 允 许 任何 用 户 制造 出 一 个 针对 任何 事件 的 预测 市 
场 ， 然 后 授权 一 个 特定 的 仲裁 者 〈 也 就 是 一 个 公 钥 ) 来 宣布 这 个 事件 的 
结果 ， 以 及 一 系列 可 能 的 结果 。event_id 是 一 个 任意 的 字符 串 ， 可 以 把 
不 同 的 交易 关联 起 来 指向 同一 个 市 场 。 未 来 币 既 不 关心 event_id 特 指 哪 
个 实际 事件 ， 也 不 关心 结果 是 什么 ， 当 然 在 系统 里 也 没有 办 法 来 具体 定 
义 。 用 户 必须 保留 这 些 来 目 市 场 创建 者 的 信息 〈 通 党 这些 创建 者 也 是 仲 
裁 者 ) 。 我 们 会 谈 到 这 个 仲裁 机 制 的 不 同 选项 。 


支付 和 清算 


利用 这 个 BuyPortfolio 指 令 交 易 ， 你 可 以 对 不 同事 件 的 预测 组 合 进 
行 投资 下 注 。 以 未 来 币 作 价 ， 你 可 以 购买 每 个 事件 可 能 发 生 的 预测 结 
果 。 比 如 ， 我 们 下 注 2014 年 的 世界 杯 ，32 个 参赛 队 都 有 可 能 遍 。 你 可 以 
用 一 个 未 来 币 购买 32 个 份额 ， 每 个 队 一 个 份额 一 一 因为 最 终 只 有 一 个 队 
会 遍 ， 这 些 份额 的 总 价格 就 是 一 个 币 。 任 何 一 个 参与 者 都 可 以 单方 面 地 
创建 一 个 BuyPortfolio 指 令 而 无 须 一 个 对 手 交 易 。 这 个 交易 实际 上 是 利 


用 用 户 提供 的 一 个 未 来 币 的 消耗 ， 以 此 制造 出 一 个 新 的 份额 输入 ， 并 分 
派 给 每 一 个 可 能 发 生 的 结果 。 还 有 一 个 交易 类 型 叫 作 SellPortfolio， 你 可 
以 卖 (或 消耗 ， 每 一 个 对 应 不 同 的 结果 的 份额 ， 以 此 赎 回 一 个 未 来 币 。 
未 来 币 和 每 一 个 结果 对 应 的 份额 可 以 进行 互 换 。 


你 可 以 用 份额 来 换 未 来 币 ， 只 要 可 以 找到 交易 对 手 ， 你 也 可 以 用 一 
种 份额 去 换 力 一 种 份额 。 下 面 的 案例 就 更 加 有 趣 了 ， 你 可 以 用 一 个 未 来 
币 购 买 每 一 种 可 能 发 生 的 结果 的 份额 ， 然 后 把 那些 你 认为 不 太 可 能 发 生 
结果 的 份额 的 卖 挥 ， 对 于 那些 你 认为 没有 什么 机 会 获胜 的 球 队 ， 你 可 以 
把 相对 应 的 份额 卖 给 其 他 对 此 有 兴趣 的 人 。 一 旦 你 做 了 这 些 ， 你 的 投资 
组 合 就 不 再 是 每 个 队 均 分 的 ， 你 也 就 不 能 再 目 动 赎 回 一 个 未 来 币 了 ， 取 
而 代 之 的 是 ， 你 必须 要 等 到 最 后 的 结果 出 来 之 后 才能 赎 回 你 的 份额 一 一 
如 果 你 所 押 的 球 队 没 有 最 终 获胜 ， 你 可 能 什么 都 拿 不 回来 。 另 一 方面 ， 
你 也 可 以 直接 从 交易 中 获 利 。 你 可 以 购买 一 个 平衡 的 投资 组 合 ， 等 待 价 
格 变 化 ， 然 后 出 售 所 有 的 份额 以 换 回 更 多 的 未 来 币 ， 这 些 未 来 币 可 以 用 
来 和 比特 币 或 者 其 他 货币 进行 兄 换 。 


预测 市 场 的 仲裁 


如 何 用 去 中 心 化 的 方法 来 实现 仲裁 呢 ? 如 何 做 出 判断 并 宣布 胜 者 和 
定价 ， 然 后 胜 者 可 以 赎 回 他 们 所 最 得 的 份额 ”最 简单 的 系统 就 是 找 一 个 
信得过 的 仲裁 员 ， 也 就 是 上 面 所 说 的 CreateMarket。 任 何 参 与 者 都 可 以 
发 起 组 织 一 个 市 场 ， 在 这 个 市 场 里 他 就 是 仲裁 员 〔( 或 是 指定 某 人 为 仲裁 
员 ) 。 他 们 可 以 创建 一 个 交易 ， 然 后 宣布 发 起 组 成 了 一 个 市 场 去 预测 世 
界 杯 的 比赛 结果 ， 他 们 会 决定 谁 是 最 后 的 获胜 者 ， 如 果 你 相信 和 人 他们， 你 
就 可 以 接受 他 们 在 CloseMarket 交 易 上 的 签名 作为 最 后 判决 的 依据 。 


就 像 其 他 的 市 场 一 样 ， 我 们 可 以 想象 ， 经 过 一 段 时 间 后 ， 有 些 实体 
慢 慢 地 建立 声誉 并 成 了 可 信任 的 仲裁 者 。 然 后 它们 就 会 主动 维护 它们 有 


价值 的 声誉 并 做 出 公正 的 仲裁 。 但 是 ， 一 旦 潜在 的 获 利 大 于 其 声誉 价 

值 ， 就 会 存在 风险 ， 也 惑 是 它们 有 可 能 会 去 操纵 一 个 预测 来 获取 巨额 收 
区 ， 这 对 预测 市 场 而 言 是 非常 危险 的 。 举 例 来 说 ， 在 世界 杯 的 预测 市 场 
里 ， 即 使 阿根廷 队 事实 上 输 近 了 比赛 ,， 但 是 仲裁 者 还 是 有 可 能 宣布 阿 根 
廷 队 获 胜 。 如 果 仲 裁 者 自己 买 了 大 量 的 阿根廷 队 获胜 的 份额 ， 他 可 能 会 
通过 操纵 这 个 结果 顾 足 够 多 的 钱 ， 而 不 在 乎 毁 掉 他 的 名 誉 。 


我 们 可 以 有 一 个 更 加 去 中 心 化 的 仲裁 系统 吗 ? 一 个 选择 是 设 定 多 个 
仲裁 者 ， 然 后 基于 多 数 人 的 决定 做 出 判决 ， 或 者 基于 投票 结果 一 -要么 
由 所 有 在 市 场 上 拥有 份额 的 用 户 进行 投票 ， 或 者 由 加 复数 字 货 币 的 丰 工 
进行 投票 ， 这 些 投 票 方案 通常 也 会 要 求 对 投 少数 票 的 人 进行 相应 地 惩 
罚 。 但 这 些 方法 都 有 很 多 问题 ， 所 以 我 们 也 不 知道 它们 在 实际 运用 中 是 
售 可 行 。 


现实 是 复杂 的 。 除 了 仲裁 者 可 能 作假 的 问题 之 外 ， 事 件 结果 的 判断 
也 可 能 存在 和 争议。 我们 最 喜欢 的 一 个 宗 例 就 是 2014 年 的 超级 矿 比 赛 ， 超 
级 碗 上 有 一 个 传统 ， 胜 利 的 球 队 会 将 一 桶 佳 得 乐 “Gatorade〉 人 饮料 倒 在 
他 们 主教 练 的 头 上 。 人 们 想 要 去 对 获胜 球 队 用 来 庆祝 的 佳 得 乐 的 颜色 进 
行 预测 ， 这 种 预测 市 场 由 来 已 入 。 在 2014 年 ， 预 测 结 果 包 括 黄色 、 柳 色 
和 其 他 佳 得 乐 饮料 所 有 的 颜色 。 但 是 在 那 一 年 ， 一 个 前 所 未 有 的 结果 出 
现 了 ， 很 难 去 决定 最 终 的 结果 是 什么 。 当 海 碎 队 (Seahawks) 获胜 的 时 
候 ， 球 员 们 把 一 桶 杰 色 的 佳 得 乐 倒 在 了 主教 练 彼得 . 卡 罗 尔 〈Peter 
Carroll) 的 头 上 ， 仅 仅 过 了 一 会 儿 ， 另 外 一 些 球员 又 倒 了 另外 一 桶 黄色 
的 佳 得 乐 。 


如 果 你 主持 了 这 么 一 个 预测 佳 得 乐 颜 色 的 预测 市 场 ， 你 会 怎么 处 理 
这 个 情况 ?最 终结 果 应 该 是 橙色 ， 还 是 黄色 ， 还 是 两 个 都 算 ? 实际 情况 
是 ， 好 几 个 体育 博彩 服务 提供 商 为 了 保持 自己 的 声誉 ， 即 使 他 们 因此 而 
损失 一 些 金钱 ， 但 为 了 获取 客户 对 他 们 的 信任 ， 还 是 决定 文 付 奖金 给 所 
有 预测 橙色 和 黄色 的 用 户 。 


当然 ， 在 一 个 去 中 心 化 的 市 场 里 ， 这 种 做 法 并 不 容易 ， 因 为 你 不 可 
能 无 中 生 有 地 创造 出 更 多 的 资金 去 文 付 两 种 结果 的 万 家 ， 很 可 能 是 仲裁 
者 让 预测 橙色 和 黄色 的 双方 平分 奖金 ， 最 终 这 两 种 份额 的 价格 部 会 变 成 
0.5 而 不 是 1.0。 为 了 避免 这 种 复杂 情况 ， 你 可 以 一 开始 在 合约 里 定义 清 
楚 ， 但 是 你 不 可 能 确保 你 能 考虑 到 所 有 的 可 能 性 。 这 个 采 例 让 我 们 深刻 
地 意识 到 ， 仲 裁 是 个 社会 问题 ， 通 过 技术 手段 是 无 法 完美 地 解决 这 个 问 
题 的 。 


实时 数据 供给 


仲裁 这 个 概念 引导 出 一 个 更 加 广义 的 概念 : 扩展 虚拟 货币 的 功能 
宣告 现实 社会 里 的 事实 。 我 们 称 之 为 实时 数据 供给 。 一 个 典型 的 预测 市 
场 的 事件 的 事实 ， 比 如 谁 赢 了 选举 、 某 只 股票 或 者 茶 个 大 宗 商 品 的 当天 
价格 或 现实 世界 里 有 价值 的 数据 。 只 要 比特 币 里 有 了 这 些 数 据 ， 脚 本 语 
言 束 可 以 将 其 作为 输入 。 比 如 ， 一 个 脚本 可 以 将 现货 金属 铜 的 价格 加 载 
在 堆栈 里 ， 然 后 据 此 价格 做 出 决策 。 三 


只 要 存在 一 个 值得 信任 的 实时 数据 供给 ， 我 们 就 可 以 对 体育 比赛 结 
果 或 是 期 货 市 场 的 价格 进行 预测 投资 和 自动 结算 。 预 测 市 场 只 是 其 中 一 
个 应 用 而 已 。 你 可 以 通过 对 相反 的 两 个 结果 都 进行 预测 投资 ， 以 实现 在 
你 的 投资 组 合 里 加 入 风险 对 冲 。 你 还 可 以 派生 出 一 些 金融 衍生 产品 ， 比 
如 目前 金融 市 场 上 常见 的 远 期 合约 和 期 货 合 约 。 如 果 这 些 都 能 通过 比特 
币 来 实现 ， 岂 不 是 更 好 ? 


我 们 可 以 把 如 何在 比特 币 《〈 或 是 其 他 另类 币 ) 里 用 技术 手段 来 表现 
现实 社会 事实 这 个 问题 ， 和 我 们 如 何 建立 对 数据 供给 的 正确 性 的 信心 这 
个 社会 问题 分 离开 来 。 


一 个 聪明 的 把 数据 供给 编码 到 比特 币 的 方法 叫 作 现实 密 钥 (reality 


keys)。 在 这 个 系统 里 ， 仲 裁 者 制造 出 一 对 密 钥 ， 并 用 该 密 钥 对 他 们 所 感 
兴趣 的 所 有 事件 的 所 有 结果 进行 签名 。 一 个 密 钥 代表 “是 ”， 必 一 个 代 
表 “ 否 ”"。 他 们 在 注册 登记 事件 的 时 候 先 发 表 公 钥 ， 然 后 当 结 果 确 定 的 时 
候 ， 再 发 表 那 一 对 密 钥 里 的 私 铀 。 如 果 爱 丽 丝 和 鲍 勃 共同 对 一 个 事件 进 
行 预测 ， 他 们 可 以 把 各 目的 保证 金发 送 到 一 个 比特 币 输出 ， 爱 丽 丝 可 以 
使 用 她 自己 的 私 钥 和 “是 ”这 个 密 钥 进行 联合 签名 以 提取 这 个 奖金 ， 鲍 动 
可 以 使 用 他 目 己 的 私 钥 和 “ 否 ” 这 个 密 钥 进行 联合 签名 提取 。 这 就 很 好 地 
实现 了 公正 地 使 用 数据 供给 作为 脚本 输入 的 目标 ， 使 得 上 述 预 测 保 证 金 
的 应 用 得 以 实现 。 值 得 注意 的 是 ， 仲 裁 者 不 需要 知道 ， 也 无 须 参与 到 爱 
丽 丝 和 鲍 肛 之 间 的 特定 预测 保证 金 中 去 。 


交易 委托 


预测 市 场 的 最 后 一 个 重要 环节 是 一 个 去 中 心 化 的 交易 委托 ， 这 也 是 
一 个 通用 概念 ， 如 果 能 实现 ， 将 会 使 很 多 的 应 用 设想 变 为 可 能 。 交 易 委 
托 是 什么 呢 ? 在 一 个 真实 的 预测 市 场 里 ， 或 者 是 大 多 数 金融 市 场 里 ， 并 
没有 一 个 统一 的 市 场 价 ， 通 常 在 交易 委托 中 会 有 买 入 价 “bid) 和 卖 出 
价 (ask〉 两 种 ， 买 入 价 是 指 愿 意 购买 份额 的 参与 者 所 出 的 最 蜗 价 ， 卖 
出 价 则 是 愿意 出 售 份额 的 参与 者 所 出 的 最 低 价 。 通 第 卖 出 价 会 大 于 买 入 
价 《〈 和 否则 市 场 就 会 对 此 进行 撮合 ， 至 少 其 中 的 一 个 交易 委托 将 不 会 出 现 
在 列表 中 ) 。 一 个 想 要 购买 份额 的 参与 者 可 以 立刻 以 卖 出 价 购买 ， 而 一 
个 想 要 出 售 的 参与 者 则 可 以 立刻 以 买 入 价 出 售 ， 这 个 交易 被 称 为 "市价 
委托 ”， 对 应 于 “ 限 价 委托 ”一 一 交易 委托 被 设 定 为 一 个 特定 的 价格 挂 在 
交易 委托 列表 中 ， 这 些 交 易 委 托 将 会 按照 限定 的 价格 《或 者 高 于 限定 的 
价格 ) 执行 。 


通常 这 是 由 一 个 中 心 化 的 交易 委托 服务 提供 两 〈( 通 第 是 一 个 交易 
所 ) 来 实现 的 。 但 问题 是 ， 束 像 许 多 中 心 化 的 服务 所 面临 的 问题 一 样 ， 
如 果 这 个 交易 所 不 城 实 的 话 ， 它 可 以 通过 损害 用 户 的 利益 来 获 利 。 比 


如 ， 一 个 交易 所 收 到 了 一 个 有 买单， 它们 上 自己 可 以 先 在 最 好 的 卖 出 价 的 时 
候 下 单 买 入 ， 然 后 马上 再 在 高 位 卖 出 ， 赚 取 中 间 的 差额 。 这 也 叫 作 预先 
交易 〈frontrunning) ， 指 的 是 交易 商 利用 得 知客 户 买 卖 证 券 动 癌 的 机 
会 ， 抢 在 客户 发 出 买卖 指令 之 前 为 牟取 利益 而 进行 交易 的 违规 行为 ( 例 
如 在 股票 大 量 交 易 前 ， 在 期 权 或 期 货 市 场 进行 相应 交易 ) ， 这 是 一 种 金 
融 犯 罪行 为 。 中 心 化 的 交易 委托 需要 执法 部 门 来 监管 ， 来 防止 这 种 预先 
交易 的 行为 ， 以 确保 系统 诚信 的 公信 力 。 


在 一 个 去 中 心 化 的 交易 委托 里 ， 我 们 不 能 依赖 强 有 力 的 执法 部 门 。 
但 还 是 有 一 个 较 好 的 解决 方案 : 我 们 不 再 将 预先 交 易 称 为 犯罪 ， 然 后 再 
想 办 法 去 防范 ， 我 们 称 之 为 一 个 特性 。 这 个 想法 是 ， 任 何人 都 可 以 通过 
广播 交易 的 办 法 把 限 价 委托 提交 给 矿工 ， 只 要 买 入 价 比 卖 出 价 高 或 者 相 
同 ， 人 矿工 就 能 够 氢 合 两 个 交易 。 这 个 矿工 只 需 把 两 者 之 间 的 差额 留 下 作 
为 交易 费 即 可 。 这 样 一 来 ， 矿 工 束 没有 动机 去 做 所 请 的 预先 交易 ， 因 为 
与 此 相 比 ， 预 完 交 易 不 可 能 赚 得 更 多 。 


这 是 一 个 很 简练 地 建立 去 中 心 化 的 委托 交易 的 办 法 。 其 最 大 的 缺点 
是 交易 者 必须 支付 给 矿工 费用 。 为 了 避免 支付 这 种 交易 费 ， 交 易 者 们 可 
能 会 所 交 仿 问 保守 的 交易 委托 ， 不 会 在 开始 时 束 透 露 他 们 愿意 成 交 的 最 
高 或 者 最 低 价位 ， 这 会 使 得 市 场 变 得 不 是 很 有 效率 。 我 们 现在 还 不 知 
道 ， 这 种 让 矿工 报 合 交易 的 交易 委托 方法 在 现实 操作 中 是 含 可行， 但 看 
上 去 这 是 个 不 错 的 主意 。 


总 结 一 下 ， 现 在 比特 币 可 以 作为 很 多 种 应 用 的 平 侣 ， 但 对 于 茶 些 应 
用 ， 比 特 币 也 没有 更 好 的 发 展 了 ， 比 如 ， 对 于 实现 一 个 安全 的 去 中 心 化 
的 预测 市 场 ， 或 者 是 一 个 去 中 心 化 的 交易 委托 系统 ， 比 特 币 并 未 提供 所 
要 求 的 全 部 特性 。 但 假如 我 们 从 头 开始 ， 环 掉 重 分 又 或 是 软 分 又 ， 十 措 
对 比特 币 增加 新 功能 所 遇 到 的 挑 成 ， 那 又 当 如 何 呢 ? 目 2008 年 比特 币 面 
世 以 来 ， 我 们 对 比特 币 有 了 越 来 越 多 的 理解 和 认识 ， 为 什么 我 们 不 可 以 
设计 一 个 全 新 的 更 好 的 数字 货币 呢 ? 


我 们 将 在 下 一 章 讨论 已 经 党 试 这 么 做 的 另类 币 概念 ， 我 们 将 会 探讨 
所 有 有 前 途 的 想法 以 及 开发 一 个 全 新 的 加 密 数字 货币 所 面临 的 挑战 。 


延伸 阅读 


我 们 看 过 的 两 种 文件 的 项 目 材料 和 说 明 书 ， 可 以 参与 交易 对 手 方 条 
球 说 明 。 您 可 以 通过 如 下 网 址 阅读 : 


https://github.com/CounterpartyXCP/Documentation/blob/master/Develc 
OpenAssets Protocol 可 通过 如 下 网 址 阅读 : 
https://github.com/OpenAssets/open-assets-protocol. 


我 们 描述 过 的 安全 多 方 抽奖 协定 (The secure multiparty lottery 
protocol) 可 以 参阅 如 下 论文 ; 


Andrychowicz, Marcin, Stefan Dziembowski，Daniel Malinowski, and 
Lukasz Mazurek.“Secure Multiparty Computations on Bitcoin.”Presented at 
the 2014 IEEE Symposium on Security and Privacy, San Jose, CA, 2014. 


您 可 以 通过 如 下 网 址 阅读 : 
https://eprint.iacr.org/2013/784.pdf. 
经 济 学 家 们 预测 市 场 的 能 力 的 研究 ， 请 参阅 如 下 论文 : 


Wolfers, Justin, and Eric Zitzewitz.“Prediction Markets.” Paper 
w10504. Cambridge, MA:National Bureau of Economic Research, 2004. 


Arrow, Kenneth J., Robert Forsythe, Michael Gorham, Robert Hahn， 
Robin Hanson, et al.“The Promise of Prediction Markets.” Science 320, 


2008. 


我 们 讨论 过 的 预测 市 场 设计 的 相关 内 容 ， 可 以 参阅 如 下 论文 《由 多 
位 作者 合 车 ) : 


Clark, Jeremy, Joseph Bonneau, Edward W. Felten, Joshua A. Kroll, 
Andrew Miller, and Arvind Narayanan.“On Decentralizing Prediction 
Markets and Order Books.”Presented at the Workshop on the Economics of 
Information Security, State College, PA, 2014. 


您 可 以 通过 如 下 网 址 阅读 : 


http:/www.jbonneau.com/docCBEKMN14-WEIS- 
decentralizing_prediction_markets.pdf. 


1. 技术 细节 请 参阅 第 3 章 相关 内 容 。 一 一 译 者 注 


第 10 草 
妨 类 币 和 加 窗 贷 币 生 态 系 统 


= 和 
A 


比特 币 ， 尽 管 是 非常 重要 的 组 成 部 分 ， 但 它 只 是 范围 更 广泛 的 数字 
生态 系统 中 的 一 种 ， 该 生态 系统 的 其 他 货币 也 与 比特 币 相似 ， 我 们 称 之 
为 另类 币 。 本 章 中 ， 我 们 将 探讨 另类 币 及 加 密 货 币 生态 系统 


(cryptocurrency ecosystem) 。 


10.1 另类 币 的 历史 和 诱因 


2009 年 1 月 ， 比 特 币 诞生 。2011 年 年 中 ， 还 未 到 两 年 ， 第 一 个 基于 
比特 币 的 衍生 货 域名 币 就 出 现 了 。2013 年 ， 另 类 币 出 现 爆 炸 式 增 
长 ， 迄 今 为 止 已 有 数 百 个 〈 见 图 10.1) 。 由 于 没有 明确 的 统计 标准 ， 我 
们 无 法 给 出 确切 的 数字 。 举 个 例子 ， 如 果 有 人 宣布 创造 了 一 种 另类 币 ， 
可 能 也 公开 了 源 代 码 ， 但 无 人 挖 矿 也 无 人 使 用 ， 这 种 货币 是 否 需 要 纳入 
统计 范围 ? 此 外 ， 有 些 另 类 币 ， 在 其 诞生 初期 是 有 人 使 用 的 ， 但 后 来 很 
快 就 无 人 问津 了 ， 这 类 货币 是 否 也 需要 纳入 统计 范围 ? 


而 且 ， 我 们 也 不 清楚 如 何 区 分 另类 币 和 传统 数字 加 密 货 币 。 早 在 比 
特 币 出 现 之 前 ， 就 有 多 种 数字 加 密 货 币 的 方案 和 系统 ， 这 些 货 币 并 不 能 
称 作 男 类 币 。 许 多 男 类 币 借 用 了 比特 币 的 概念 ， 它 们 通常 是 直接 复制 其 
基础 代码 或 是 使 用 部 分 代码 。 有 些 只 对 比特 币 做 了 极 小 的 改动 ， 例 如 只 
改变 一 些 系统 参数 值 ， 保 留 比 特 币 开发 者 后 续 所 做 的 所 有 变更 。 截 至 目 
前 ， 所 有 已 知 的 另类 币 都 是 从 一 个 新 的 创 世 区 块 开 始 ， 都 有 上 自己 独特 的 
交易 历史 ， 而 不 是 从 比特 币 历史 交易 记录 中 的 某 个 区 块 进行 分 又 ， 进 而 
演化 出 上 自己 体系 的 。 为 了 研究 和 学 习 ， 我 们 并 不 需要 妃 类 币 的 精确 的 定 
义 ， 而 是 把 将 所 有 在 比特 币 之 后 诞生 的 加 密 货 币 党 统 地 称 为 另类 币 。 


2009 2010 2011 2012 2013 2014 年 份 


图 10.1 每 月 创造 的 另类 币 量 

注 : 仅 指 通 过 创 世 区 块 创建 的 另类 币 。 

我 们 将 简要 提 一 下 非 另 类 币 系 统 ， 如 瑞 波 公司 〈Ripple) 和 恒星 公 
司 〈Stellar) ， 它 们 属于 第 2 章 中 所 介绍 的 传统 分 布 式 共识 协议 。 这 类 系 
统 为 了 达成 共识 ， 模 型 中 每 个 节点 都 有 自己 的 标记 并 且 需 要 知道 其 他 市 
点 的 标记 。 当 然 ， 比 特 币 建立 共识 的 模型 与 此 截然 不 同 。 在 瑞 波 公司 和 
恒星 公司 中 ， 共 识 协议 文 持 支 付 清算 网 络 并 且 在 每 个 体系 中 有 其 自己 的 
货币 。 尽 管 这 些 特 性 和 另类 币 类 似 ， 但 在 本 书 中 并 未 将 它们 作为 另类 币 


友 行 力 类 币 的 原因 


每 种 妨 类 币 都 有 自己 的 故事 。 一 种 男 类 币 之 所 以 存在 ， 束 是 因为 它 
有 别 于 其 他 男 类 币 的 特点 。 最 简单 的 情况 下 ， 一 种 为 类 币 只 是 修改 比特 
币 内 置 的 参数 ， 比 如 修改 区 块 的 平均 时 间 间 隔 、 区 块 大 小 限制 、 创 造 回 
报 的 计划 和 货币 的 通货 膨胀 率 等 。 


当然 也 有 更 复杂 的 技术 上 的 差异 ， 这 种 情况 更 有 趣 。 例 如 ， 可 以 对 
脚本 语言 进行 扩充 以 增加 交易 种 类 和 安全 属性 ， 可 以 采用 与 比特 币 完全 
不 同 的 挖 矿 方 式 以 及 共识 算法 (consensus algorithm) 。 


有 时 ， 为 了 文 持 一 个 主题 或 者 社区 ， 通 向 是 需要 给 社区 中 的 成 员 赋 
予 一 个 特定 的 角色 或 权限 ， 就 会 有 一 种 比特 币 被 创造 出 来 。 本 章 将 在 最 
后 的 部 分 研究 此 类 相关 案例 。 


如 何 创造 一 个 另类 币 


我 们 首先 考虑 一 下 另类 币 在 创建 过 程 中 及 创建 后 所 涉及 的 内 容 。 正 
如 前 文 提 到 的 ， 创 造 一 个 另类 币 就 是 建立 一 个 全 新 的 参照 体系 ， 最 常见 
就 是 通过 复制 修改 现存 的 成 熟 男 类 币 或 者 比特 币 本 映 。 最 容易 的 部 分 束 
是 加 一 些 技术 特色 或 者 修改 一 些 参数 使 之 更 好 用 。 曾 经 有 一 个 网 站 
coingen.io， 只 收取 一 些 费 用 ， 就 会 自动 产生 一 个 另类 币 。 你 只 需要 上 自己 
设 定 各 种 参数 ， 比 如 区 块 产生 的 平均 时 间 、 需 要 的 工作 量 证 明 算法 、 另 
类 币 的 名 字 以 及 3 个 字母 的 货币 代码 和 标志 。 完 成 设置 后 ， 只 要 轻 轻 点 
击 鼠 标 ， 就 能 下 载 一 份 根 据 你 的 需要 修改 的 比特 币 源 代码 ， 你 就 拥有 了 
自己 的 男 类 币 ， 接 下 来 你 就 可 以 和 别人 号 上 开始 运用 这 个 男 类 币 了。 为 
类 币 最 困难 的 部 分 在 于 如 何 让 别人 逐步 接受 并 使 用 你 的 另类 币 。 通 过 复 
制 并 修改 源 代 码 ， 你 可 以 对 外 发 布 新 的 另类 币 ， 在 刚 诞 生 时 ， 没 有 人 会 
使 用 这 个 货币 ， 由 于 没有 人 想 拥 有 这 个 货币 ， 因 此 它 坚 无 价值 ， 又 由 于 
没有 挖 矿 的 人 ， 它 也 不 安全 。 本 书 第 7 章 ， 我 们 介绍 过 比特 币 系 统 的 利 
益 相关 者 : 开发 者 、 矿 工 、 投 资 者 、 丙 家 、 客 户 和 文 付 服务 商 。 最 终 ， 
为 了 让 你 的 另类 币 形成 规模 ， 你 需要 吸引 这 些 参与 人 加 入 这 个 货币 的 生 
态 圈 中 。 


另类 币 的 这 些 相 关 群 体 都 是 非常 重要 的 ， 而 且 它 们 相互 关联 ， 这 与 
创建 并 推广 一 个 平台 非 党 类似。 比如， 创建 一 个 智能 手机 操作 系统 ， 束 
需要 用 户 、 设 备 制造 商 、 手 机 软件 开发 者 和 其 他 重要 的 利益 相关 者 共同 
参与 ， 同 时 每 个 角色 都 需要 群体 中 的 其 他 人 的 参与 。 


在 妨 类 币 中 ， 吸 引 矿 工 对 男 类 币 来 说 特别 重要 ， 因 为 如 果 没 有 足够 


的 哈 希 算 力 做 文 持 ， 双 重文 付 和 复制 修改 代码 惑 很 可 能 会 发 生 ， 另 类 币 
的 安全 性 束 无 从 谈 起 。 事 实 上 ， 这 种 货币 可 能 会 彻底 骨 尖 ， 本 章 10.4 市 
中 将 会 讨论 “另类 币 天 折 ”(altcoin infanticide) 。 没 有 一 个 简单 的 方法 可 
以 吸引 大 家 接受 并 逐步 推广 使 用 另类 币 ， 但 是 通常 来 次 ， 当 矿工 感觉 到 
货币 回报 值得 他 们 付出 时 ， 他 们 就 会 加 入 。 为 了 吸引 矿工 ， 很 多 另类 币 
都 给 早期 矿工 比较 丰厚 的 回报 。 比 特 币 显然 是 最 早 采 用 这 种 策略 的 ， 后 
来 很 多 另类 币 采 用 了 更 加 激进 的 激励 措施 来 吸引 早期 矿工 。 


而 最 困难 的 工作 ， 是 让 一 个 社区 的 人 相信 这 个 另类 币 有 价值 。 正 如 
我 们 在 第 7 重 讨 论 过 的 ， 即 便 对 比特 币 来 说 ， 我 们 也 不 是 特别 清楚 这 个 
过 程 是 如 何 目 举 的 。 这 依赖 仙子 效应 ， 从 而 实现 自我 增强 ， 让 人 们 相信 
它 有 价值 的 过 程 是 如 何 实现 的 。 这 就 回 到 我 们 一 开始 提 到 的 ， 另 类 币 需 
要 有 一 个 好 的 故事 ， 才 能 让 人 相信 这 个 新 的 另类 币 将 来 会 有 价值 ， 或 者 
是 相信 其 他 人 会 认为 这 个 有 价值 。 如 果 一 个 社区 对 获取 为 类 币 感 兴趣 ， 
矿工 就 会 参与 进来 。 三 只 要 价值 被 认可 ， 其 他 重要 的 元 素 就 会 显现 ， 比 
如 在 交易 所 交易 以 及 从 开发 区 块 链 的 工具 ， 到 游说 团体 开发 的 各 种 辅助 
设施 和 服务 。 


拉 高 出 货 骗 术 (pump-and-dump scams) 


当 一 种 男 类 币 的 创始 人 成 功 地 促成 一 个 活跃 的 货币 社区 和 一 个 真正 
在 运作 的 交易 市 场 时 ， 他 们 就 会 变 得 非常 富有 。 儿 乎 可 以 肯定 的 是 ， 他 
们 拥有 很 多 这 类 货币 。 这 种 货币 可 能 来 源 于 ， 在 系统 运行 最 初 ， 哈 布 算 
力 还 不 是 很 高 的 时 候 所 挖 的 货币 ， 或 者 是 类 似 接 下 来 要 讨论 的 ， 在 还 未 
冬 矿 之 前 获得 的 预先 分 配 的 货币 。 一 旦 另类 币 的 交换 价值 提高 了 ， 创 始 
人 就 可 以 选择 卖 挥 他 们 的 人 


一 夜 致富 的 可 能 性 ， 极 大 地 吸引 了 有 雄心 的 创业 者 和 风险 投资 基 
金 ， 坚 不 意外 地 也 吸引 了 骗子 。 事 实 上 ， 我 们 很 难 区 分 骗子 和 创业 者 。 


骗子 可 能 会 使 用 各 种 方法 ， 来 夸大 一 种 力 类 币 的 潜在 和 未 来 收益 。 他 们 
可 能 会 炒作 它 的 技术 优点 ， 伪 造 撒 层 文 持 的 假 稍 ， 在 市 场 上 推 遍 另类 币 


价格 等 。 


事实 上 ， 甚 至 连 非 创始 人 部 可 以 设计 这 样 的 骗局 。 他 们 可 以 先 买 入 
大 量 还 未 出 名 的 妨 类 币 ， 然 后 说 服 大 众 相 信 该 货币 还 有 未 实现 的 增值 潜 
力 ( 也 束 是 “ 拉 高 ") 。 如 宋 成 功 地 拉 高 了 货币 的 价格 ， 他 们 就 可 以 通过 
卖 出 获 利 (也 残 是 “抛售 *) 。 此 时 ， 很 多 理智 的 投资 者 可 能 会 意识 到 这 
古 个 骗局 ， 然 后 币值 出 现 断 崖 式 下 跌 ， 叶 致 很 多 当初 购买 的 人 最 终 血 本 
无 轨 ， 只 剩 下 坚 无 价值 的 货币 。 这 种 拉 高 出 货 的 骗局 ， 在 操纵 不 知名 的 
低 价 股票 的 主流 金融 业务 中 很 常见 ， 在 男 类 币 的 发 展 早 期 也 很 普遍 ， 那 
时 候 用 户 热 情 高 涨 ， 投 资 者 也 无 法 分 辨 到 底 哪 一 种 男 类 币 是 真正 具有 创 
新 性 的 ， 哪 一 种 是 依靠 嗪 头 和 推广 ， 但 实际 是 坚 无 真正 价值 的 。 这 也 寻 
致 ， 截 至 目前 ， 用 户 和 投资 者 都 大 烦 了 男 类 币 。 


初始 分 配 


在 比特 币 体 系 中 ， 货 币 只 能 以 挖 矿 的 方式 分 配给 用 户 。 但 是 在 其 他 
男 类 币 体系 里 ， 出 于 各 种 考量 ， 除 挖 矿 以 外 ， 开 发 者 们 还 使 用 其 他 方法 
对 货币 进行 初始 分 配 。 


开发 者 可 以 预先 分 配 和 货币 ， 也 惑 是 说 ， 先 预 留 一 部 分 货币 给 目 己 或 
者 其 他 特定 团体 〈 比 如 预 留 给 开发 该 货币 的 非 营利 性 组 织 ) 。 用 这 个 额 
外 的 收获 ， 去 激励 开发 者 花费 时 间 精 力 去 创造 和 激活 一 个 新 的 加 密 仙 
币 。 有 时 候 ， 也 可 能 会 采取 更 激进 的 激励 方式 ， 即 可 以 对 仙 币 进行 预 
售 ， 也 惑 是 把 这 些 货 币 预先 卖 给 其 他 投机 者 ， 换 取 比 特 币 或 者 现实 中 的 
货币 。 这 有 点 像 投 资 初创 企业 : 如 宋 投 资 的 另类 币 成 长 起 来 ， 投 机 者 惑 


会 获得 大 量 财富 。 


寻求 各 种 预 分 配方 法 的 另外 一 种 动机 是 ， 确 保 早期 的 货币 拥有 者 来 
目 多 个 社区 ， 并 且 他 们 与 货币 成 功 的 利益 相关 。 如 果 矿 工 太 为 集中 ， 就 
会 造成 资产 持 有 过 度 集中 ， 这 不 利于 货币 的 发 展 壮大 。 一 种 比较 聪明 的 
分 散 所 有 权 的 做 法 ， 束 是 把 另类 币 发 给 现 有 的 比特 币 用 户 。 


在 技术 上 如 何 做 到 这 一 点 ， 即 让 比特 币 用 户 可 以 自动 地 分 配 ， 并 拥 
有 另类 币 ? 一 种 办 法 是 通过 第 3 章 谈 到 过 的 “销毁 证 明 ”: 用 户 只 要 证 明 
他 们 销毁 了 一 定 比 例 的 比特 币 ， 就 能 要 回 一 个 单位 新 的 另类 币 。 用 户 需 
要 在 销毁 的 时 候 提 供 数 据 证 明 ， 比 如 特殊 的 字符 串 来 识别 某 个 另类 币 ， 
这 样 承 可 以 说 明 他 们 销毁 比特 币 的 目的 ， 束 是 为 了 获取 这 个 新 的 另类 币 
( 见 图 10.2) 。 


通过 “销毁 证 明 ? 来 分 配 另 类 币 ， 也 叫 作 * 单 癌 挂 钩 ? 或 者 “价格 上 
限 ”。 男 类 币 可 以 一 对 一 地 配对 比特 币 ， 并 不 意味 着 两 者 价值 相同 。 这 
样 的 配对 ， 确 保 另 类 币 最 多 值 1 个 比特 币 。 因 为 ，1 个 比特 币 可 以 换 1 个 
另类 币 ， 但 是 反 过 来 不 行 。 


尺 类 币 区 块 链 


比特 币 区 块 链 


图 10. 2 通过 “销毁 证 明 ” 分 配 另 类 币 
注 : 另类 币 提 供 一 个 以 比特 币 操 作为 输入 的 生成 货币 (GenCoin) 的 指令 。 生 成 货币 
的 签名 用 到 的 私 钥 ， 和 签 销 毁 证 明 的 私 钥 是 一 样 的 〈 签 名 的 机 制 也 一 样 ) 。 这 样 就 
能 保证 ， 销 毁 比 特 币 的 同一 个 用 户 ， 同 时 创造 了 新 生成 货币 。 如 果 汇 兑 比例 是 1 : 1， 
那么 另类 币 的 价值 v′ 不 大 于 比特 币 的 价值 v。 


也 可 以 有 一 些 相对 没 那么 复杂 的 做 法 : 要 求 用 户 提供 拥有 比特 币 的 
证 明 ， 但 无 须 销 毁 比 特 币 ， 也 以 获得 新 币 。 有 具体 来 将 ， 劝 类 币 体系 会 指 
定 一 个 比特 币 区 块 高 度 〈 也 许 刚 好 就 是 另类 币 诞 生 时 的 长 度 ) 。 在 这 个 


高 度 的 区 块 里 ， 任 何人 拥有 还 没 花 挥 的 比特 币 ， 残 可 以 按 比 例 得 到 同样 

数量 的 另类 币 《〈“ 见 图 10.3) 。 通 过 这 种 方式 ， 比 特 币 和 为 类 币 的 价格 就 

无 须 固定 ， 毕 竞 比特 币 并 没有 通过 销毁 证 明 来 "转换 "成 为 另类 币 。 
比特 币 区 块 链 另类 币 区 块 链 


| 
I 
| 
由 sK ,签名 
| 
I 
| 
I 


输出 1: 地 址 B; 价值 wi 
输出 2: 地址 C; 价值 w 


图 10. 3 通过 证 明 比 特 币 的 所 有 权 来 分 配 另 类 币 
注 : 生成 货币 的 输入 ， 是 特定 区 块 高 度 下 一 个 或 者 多 个 没 用 过 的 比特 币 交 易 输出 。 
就 像 正 常 的 比特 币 操 作 一 样 ， 这 些 都 是 通过 控制 未 使 用 比特 币 的 私 钥 来 进行 签名 认 
证 的 。 图 中 的 比特 币 交 易 有 两 个 未 用 过 的 交易 输出 ， 分 别 为 特定 高 度 区 块 链 中 的 B 和 
CC 地址。B 地 址 的 用 户 换 了 另类 币 ， 但 C 地 址 用 户 还 没 这 么 做 。 人 假设 汇兑 比例 是 1 : 1， 
新 另类 币 的 价值 为 v”， 那 么 v′ 一 定 不 能 大 于 B 的 比特 币 价值 v1。 


当然 ， 为 了 实现 这 种 分 配 ， 夯 类 币 的 矿工 也 必须 时 刻 了 解 比特 币 的 
区 块 链 。 允 类 币 必 须 明 确 什么 才 算 认定 的 比特 币 区 易 。 一 种 选择 是 要 求 
回 定 的 确认 次 数 ， 比 如 6 次 。 男 外 的 一 种 选择 是 ， 在 每 个 妨 类 币 的 区 块 
中 加 入 最 新 比特 币 区 块 。 这 样 ， 比 特 币 的 交易 立刻 可 以 在 妨 类 币 体 系 里 
使 用 ， 而 不 需要 等 得 确认 。 这 束 类 似 在 比特 币 体 系 中 ， 交 易 的 输出 可 以 
在 自身 或 者 下 一 个 区 块 中 使 用 。 我 们 将 在 下 一 市 讨论 共同 挖 矿 (merge 
mining) ， 一 种 把 比特 币 和 另类 币 区 块 链 接 起 来 的 方式 。 


最 后 一 种 方式 是 ， 把 已 经 分 配 好 的 货币 捐赠 出 去 ， 这 也 是 扩大 货 
用 户 多 样 性 的 一 种 办 法 。 一 种 方式 是 文 付 小 费 ; 很 多 服务 允许 赠送 小 费 
给 电子 邮箱 或 者 社交 媒体 账户 ， 这 多 多 少 少 可 以 促进 接收 者 了 解 并 参与 
到 这 个 货币 体系 中 来 。 接 受 方 收 到 信息 ， 得 知 他 的 托管 账户 存 有 小 费 ， 
然后 通过 认证 邮件 地 址 或 者 社交 媒体 账号 可 以 取得 这 些小 费 。 当 然 ， 为 
获得 这 些小 费 ， 他 们 还 需要 安装 钱包 软件 ， 或 者 采用 其 他 方式 。 妨 外 一 
种 可 以 称 作 “水 龙头 ”捐赠 方式 ， 即 任何 访问 特定 网 站 并 输入 邮件 地 址 的 


人 ， 都 可 以 获得 一 小 部 分 另类 币 。 


1. 尽管 当 币 种 升值 快 于 挖 矿 的 速度 时 ， 可 能 会 有 风险 。 一 一 译 者 注 


10.2 几 种 为 类 币 的 详细 介绍 


接 下 来 ， 我 们 重点 介绍 几 个 最 早 的 另类 币 。 


域名 币 


本 书 已 经 介绍 过 比特 币 的 区 块 链 是 一 种 安全 的 全 球 数据 库 ， 其 对 写 
入 的 数据 具有 防 扯 改 保 护 ， 并 且 是 永久 的 。 那 么 是 否 可 以 修改 比特 币 的 
设计 ， 来 文 持 其 他 安全 的 全 球 数据 应 用 《比如 域名 系统 ) 呢 ? 


为 了 使 这 个 数据 库 在 非 货币 方面 的 应 用 更 加 有 效 ， 我 们 首先 需要 明 
确 几 个 基本 原则 。 第 一 ， 把 录入 的 数据 视 为 域名 或 数值 对 (name/value 
pairs) ， 域 名 是 全 球 唯 一 的 。 这 惑 可 以 使 任何 人 去 寻找 可 映射 到 域名 的 
数值 ， 束 像 哈 希 链表 或 者 有 主 索 引 的 数据 库 一 样 。 为 了 确保 域名 的 全 球 
唯一 性 ， 如 果 域 名 和 数值 对 与 以 前 录入 的 相同 ， 则 将 其 视 为 对 旧 数 据 的 
更 新 而 非 新 的 数据 。 


第 二 ， 只 有 首次 录入 东 个 域名 的 使 用 者 ， 才 有 权限 更 新 这 个 域名 。 
这 很 容易 实现 ， 比 如 可 以 把 每 个 域名 与 比特 币 地 址 联系 起 来 ， 且 规定 必 
须 用 这 个 地 址 的 私 钥 ， 才 可 以 对 更 新 交易 签名 。 


比特 币 可 以 实现 上 述 功能 ， 正 如 第 9 章 中 所 述 ， 可 以 把 比特 币 作为 
只 有 增添 功能 的 日 志 来 构建 登 加 货币 。 由 于 可 以 直接 把 这 些 协 议 写 入 规 
则 中 ， 其 他 男 类 币 更 易于 实现 上 述 功 能 。 而 且 ， 一旦 矿工 执行 了 这 些 规 
则 ， 这 些 规则 就 是 不 可 改动 的 ， 而 且 不 需要 每 个 使 用 者 (如 全 部 节点 ) 
目 己 检查 并 判断 在 受到 侵犯 时 该 如 何 处 理 。 它 甚至 可 以 实现 类 似 SPV 形 


式 的 验证 : 一 个 轻 量 级 的 客户 跨 可 辐 运 行 全 节点 功能 的 服务 器 提交 一 条 
碍 询 《 如 碍 域名 ) ， 服 务 器 则 会 返回 这 个 域名 项 的 数值 以 及 相关 证 据 ， 
用 以 证 明 返 回 的 数值 是 数据 库 中 最 新 的 数据 。 


上 文 简要 介绍 了 域名 币 。 这 是 一 个 全 球 的 域名 /数值 商店 ， 在 这 个 
体系 中 ， 每 一 个 用 户 都 可 以 注册 一 个 或 者 多 个 域名 (需要 一 定 的 费 
用 ) ， 并 且 可 以 更 新 他 们 拥有 的 域名 的 数值 。 用 户 同 时 也 可 以 把 拥有 的 
域名 转 给 别人 。 事 实 上 ， 由 于 域名 转让 与 货币 转让 交易 不 可 分 割 ， 你 可 
以 在 把 域名 转 给 别人 的 时 候 ， 获 得 几 个 单位 的 域名 币 。 通 过 这 种 方式 把 
域名 卖 给 从 未 谋面 并 且 未 建立 信任 关系 的 人 是 安全 的 。 虽 然 截至 2015 
年 ， 域 名 币 还 无 法 文 持 安全 简单 的 客户 端 ， 但 是 文 持 这 个 扩张 功能 的 提 
议 已 经 被 提出 来 了 。 


域名 币 的 目的 是 提供 一 个 去 中 心 化 的 域名 系统 DNS， 在 DNS 数据 库 
里 ， 名 字 即 域名 ， 数 值 对 应 IP 地 址 。 目 前 还 无 法 在 普通 浏览 器 里 默认 使 
用 域名 币 ， 但 是 通过 下 载 相关 插件 ， 这 个 插件 天 会 在 域名 币 的 注册 系统 
而 非 传统 的 DNS 中 查找 IP 地 址 ， 这 样 ， 用 户 束 可 以 在 像 火狐 (Firefox) 
或 者 酷 容 〈Chrome) 此 类 的 浏览 器 中 访问 如 example.bit 这 样 以 .bit 结 尾 
的 域名 了 。 


域名 币 不 仅 在 技术 上 而 且 在 历史 地 位 上 都 是 很 值得 一 提 的 。 它 诞生 
于 2011 年 4 月 ， 仅 比比 特 币 晚 两 年 ， 是 第 一 个 被 创造 出 的 另类 币 。 其 特 
点 是 共同 挖 矿 ， 本 章 10.4 节 将 就 此 做 进一步 讨论 。 


截至 2015 年 ， 域 名 币 并 未 被 广泛 使 用 。 大 部 分 的 注册 域名 都 被 一 些 
投机 者 抢先 注册 ， 他 们 和 希望 通过 卖 域 名 获 利 〈 现 实 远 未 如 此 ) 。 文 持 域 
名 币 系 统 的 人 认为 ， 不 应 该 让 现 有 DNS 体系 将 互联 网 核心 组 成 部 分 的 控 
制 权 ， 过 多 地 交 由 单一 机 构 来 管理 。 可 以 想象 ， 这 种 观点 在 比特 币 社区 
中 也 很 流行 。 但 是 主演 用 户 对 于 用 其 他 方式 来 蔡 代 DNS 并 不 热 束 ， 因 
此 ， 域 名 币 这 种 杀手 级 应 用 无 法 普及 。 


莱特 币 


莱特 币 〈Litecoin ) 诞生 于 2011 年 ， 在 域名 币 之 后 。 在 过 去 的 几 年 
里 ， 无 论 是 从 红 合 流行 程度 或 是 用 户 基础 看 ， 莱 特 币 都 是 另类 币 中 的 领 
头羊 。 它 也 是 被 模 仿 修改 最 多 的 货币 。 事 实 上 ， 沫 特 币 被 模仿 修改 的 次 
数 超过 了 比特 币 。 


莱特 币 和 比特 币 在 技术 上 的 主要 区 别 是 : 莱特 币 用 的 是 第 8 章 讨论 
过 的 基于 Scrypt 算 法 的 刚性 内 存 解 谜 (memory-hard puzzles) 。 当 莱特 
币 出 现 的 时 候 ， 比 特 币 的 挖 矿 还 在 GPU 时 代 ， 所 以 当时 莱特 币 使 用 刚性 
内 存 解 谋 ， 目 的 是 将 代 GPU。 一 开始 发 行 时 ， 还 可 以 用 CPU 在 莱特 币 中 
安 矿 ， 虽 然 那 时 候 比 特 币 早 已 无 法 使 用 CPU 来 挖 矿 。 但 是 后 来 ， 莱 特 币 
也 无 法 阻止 挖 矿 的 层 层 升 级 ， 从 CPU 到 GPU 再 到 ASIC。 每 次 莱特 币 挖 
夏 的 升级 ， 都 比比 特 币 花费 的 时 间 更 长 。 其 中 原因 ， 也 许 是 因为 莱特 币 
的 谜 题 ， 用 硬件 去 解 更 难 ， 或 者 由 于 莱特 币 币 值 交 换 比 例 较 低 ， 使 得 矿 
工 缺 乏 动力 。 


不 管 是 何 种 原因 ， 从 CPU 升级 到 ASIC， 就 挖 矿 功 效 的 改进 效果 来 
看 ， 莱 特 币 与 比特 币 类 似 。 从 这 点 来 看 ， 莱 特 币 并 没有 达到 原先 设计 的 
目标 : 通过 维护 CPU 矿工 社区 ， 创 造 出 一 个 用 CPU 挖 矿 的 分 布 式 体系 。 
但 是 ， 重 要 的 是 ， 这 个 理念 虽然 失败 了 ， 它 依然 吸引 并 保持 了 众多 的 追 
随 者 。 如 今 ， 莱 特 币 已 经 改变 了 其 说 法 ， 声 称 由 于 其 并 非 采 纳 ASIC， 
因此 其 初始 分 配 更 加 公平 。 


莱特 币 也 做 了 一 些小 的 参数 变更 ， 比 如 羔 特 币 的 区 块 增长 会 比比 特 
币 快 4 倍 ， 也 就 是 每 2.5 分 钟 产 生 一 个 区 块 。 其 他 方面 ， 羔 特 币 都 尽 可 能 
昔 鉴 比特 币 。 甚 至 莱特 币 的 更 新 都 跟随 比特 币 ， 比 特 币 一 有 任何 补丁 或 
者 更 新 ， 沫 特 币 会 同时 采用 。 


狗 币 


狗 币 (Dogecoin) 也 许 是 迄今 为 止 故 事 最 精彩 的 另类 币 。 它 诞生 于 
2013 年 年 末 ， 其 突出 的 特点 不 是 技术 《〈 它 是 莱特 币 的 翻版 ) ， 而 是 社区 
价值 体系 : 小费、 慷慨 和 非 严 格 的 加 密 货 币 。 它 的 名 字 来 源 于 神 烦 狗 
(Doge) ， 一 只 有 趣 的 在 互联 网 流行 的 日 本 上 某 犬 〈 见 图 10.4) 。 狗 币 团 
队 发 起 过 好 几 个 有 趣 而 且 成 功 的 广告 宣传 活动 ， 比 如 赞助 美国 纳 斯 卡车 
赛 (NASCAR) 车 手 ， 让 狗 币 的 图 案 壳 布 全 车 。 他 们 还 集资 了 3 万 美 
元 ， 资 助 牙买加 国家 雪 权 队 参 加 2014 年 冬季 奥运 会 。 有 趣 的 是 ， 这 和 90 
年 代 的 电影 酪 跑 (Cool Running) 的 故事 情节 如 出 一 斩 。 


图 10.4 狗 币 的 其 中 一 个 标志 
注 : 卖点 是 其 有 趣 幽 默 ， 而 不 是 其 技术 创新 。 狗 币 标志 ， 版 权 为 2013“2014 年 狗 币 开 
发 者 。 


由 于 狗 币 社区 的 慷慨 大 方 、 宣 传 活动 的 推广 ， 加 上 神 烦 狗 形 象 在 互 
联网 的 流行 ， 狗 币 在 2014 年 一 度 大 受 欢 迎 。 很 多 用 狗 币 的 人 ， 之 前 都 不 
知道 什么 是 加 密 货 币 ， 他 们 也 不 需要 知道 狗 币 比 别 的 货币 好 在 哪里 ， 就 
可 以 主动 参与 并 推动 狗 币 的 发 展 。 狗 币 的 成 功 ， 说 明 一 个 货币 的 流行 也 


可 以 通过 非 技 术 的 方式 来 实现 。 遗 憾 的 是 ， 束 像 很 多 互联 网 热点 一 样 ， 
狗 币 的 风靡 程度 目前 已 逐渐 减弱 ， 其 汇兑 比率 也 随 之 大 幅 下 降 。 


10.3 比特 币 和 另类 币 的 关系 


我 们 可 以 用 一 系列 的 参照 标准 ， 来 比较 各 类 不 同 的 妃 类 币 的 相对 规 
模 和 影响 。 


万 类 币 比 较 


资本 市 值 


传统 上 来 说 ， 资 本 市 值 是 评估 一 个 公众 公司 的 简单 方法 ， 把 公司 股 
票 价格 乘 以 总 股份 即 可 得 出 资本 市 值 。 在 另类 币 领 域 里 ， 计 算 资 本 市 值 
的 方法 类 似 ， 即 用 每 单位 货币 的 价格 (通过 用 最 通用 的 第 三 方 交易 平台 
取得 价格 ) 乘 以 流通 中 的 总 货币 数 。 按 照 这 个 标准 ， 截 至 2015 年 ， 比 特 
币 的 资本 市 值 最 大 ， 其 占 了 所 有 加 密 货 币 总 和 90% 多 的 市 值 。 其 他 币 种 
的 排名 可 能 会 经 常 变化， 但 是 大 部 分 另类 币 的 市 值 都 非常 小 。 


不 能 过 分 看 重 资本 市 值 。 首 先 ， 资 本 市 值 并 不 等 于 购买 所 有 流通 中 
货币 的 总 费用 。 这 个 总 费用 可 能 比 资本 市 值 高 或 者 低 ， 因 为 大 量 的 购买 
会 抬 高 该 另类 币 的 价格 。 其 次 ， 虽 然 资 本 市 值 只 考虑 流通 中 的 总 货币 
量 ， 但 是 市 场 参与 者 应 该 会 考虑 未 来 新 发 行货 币 量 对 货币 价格 的 影响 ， 
这 使 资本 市 值 的 估计 更 加 复杂 。 最 后 ， 甚 至 真实 流通 的 货币 量 也 是 无 法 
准确 估计 的 ， 因 为 有 些 货币 的 主人 也 许 丢 失 了 他 们 的 私 钥 ， 但 我 们 并 不 
知道 。 


如 果 两 个 另类 币 用 同样 的 挖 矿 谜 题 ， 那 么 可 以 直接 对 比 每 个 货币 矿 
工 的 总 挖 矿 能 力 。 基 于 哈 希 迹 题 的 影响 ， 挖 矿 能 力 这 个 指标 经 常 被 称 为 
哈 希 速度 (hash rate) 。 比 如 ， 泽 塔 币 〈Zetacoin ) 用 和 比特 币 一 样 的 
SHA-256 挖 矿 谜 题 ， 在 2015 年 12 月 ， 它 的 网 络 哈 希 速度 ， 是 5 兆 哈 希 每 
秒 ( 即 5x10 世 了 哈 希 / 秒 )。 这 个 数字 大 约 是 比特 币 的 十 万 分 之 一 。 如 果 两 种 
货币 用 不 同 的 挖 矿 谜 题 ， 比 较 挖 矿 能 力 束 很 困难 ， 因 为 谜 题 需 要 花 不 同 
的 时 间 去 计算 。 而 且 ， 专 门 为 某 种 货币 定制 的 挖 矿 硬 件 不 一 定 适 用 于 其 
他 货币 的 挖 矿 〈 包 括 攻击 ) 。 


即便 对 使 用 完全 相同 的 挖 矿 谜 题 的 另类 币 ， 我 们 也 可 从 其 随时 间 而 
变化 的 挖 矿 能 力 上 ， 得 知 一 些 有 用 的 信息 。 如 果 是 算 力 的 增加 ， 则 意味 
独 更 多 的 人 加 入 或 者 现 有 参与 者 升级 了 更 强大 的 硬件 设备 ， 反 之， 如 宁 
是 算 力 的 减少 ， 则 意味 着 一 些 矿 工 已 经 放弃 这 个 币 种 ， 这 通常 是 一 种 负 
面 的 迹象 。 


其 他 指标 


有 几 个 其 他 指标 可 以 用 于 比较 另类 币 。 比 如 ， 忆 类 币 的 汇率 变化 可 
以 说 明 其 健康 程度 ， 当 然 也 可 能 与 其 哈 希 速度 变化 有 关 ; 在 第 三 方 交易 
平台 的 交易 额 可 以 用 来 测度 这 个 货币 的 活跃 度 和 公众 对 它 的 兴趣 程度 。 
然而 ， 有 些 指标 并 不 一 定 有 用 。 比 如 ， 忆 类 币 区 块 链 的 交易 量 就 并 不 能 
说 明 什 么 ， 因 为 这 有 可 能 是 用 户 在 他 们 自己 的 账户 内 通过 倒转 货币 产生 
的 ， 这 些 内 部 倒转 甚至 可 能 是 自动 进行 的 。 最 后 ， 我 们 可 以 看 看 有 多 少 
商家 和 文 付 渠 道 支持 这 种 货币 ， 因 为 只 有 优 夯 的 货币 才 更 可 能 得 到 支付 
渠道 的 支持 。 


比特 币 与 男 类 币 互动 的 经 济 学 视角 


比特 币 和 另类 币 的 关系 很 复杂 。 一 方面 ， 作 为 加 密 货 币 ， 因 为 它们 


都 可 以 用 于 网 络 文 付 ， 它 们 相互 竞争 。 如 果 两 种 货币 提供 的 功能 相近 ， 
采用 类 似 的 标准 、 协 议和 规范 格式 ， 那 么 最 终 有 一 方 会 占 优 ， 这 束 是 经 


济 学 家 所 说 的 “网 络 效应 ”。 


举 个 例子 来 说 ， 在 2000 年 的 中 后 期 蓝光 〈Blu-ray) 和 HD DVD 展开 
激烈 的 竞争 ， 争 和 夺 DVD 标 准 的 制定 者 。 因 为 受 欢 迎 的 游戏 机 
PS3(PlayStation 3) 的 主机 可 以 当成 蓝光 播放 器 使 用 ， 渐 渐 地 ， 蓝 光 开 始 
变 得 更 加 流行 。 很 多 电影 制作 商 也 由 此 更 喜欢 采用 蓝光 格式 ， 这 也 反 过 
来 推动 了 蓝光 进一步 的 普及 。 随 着 更 多 的 电影 采用 蓝光 格式 发 行 ， 更 多 
的 用 户 购 买 蓝光 播放 器 ， 进 一 步 导 致 更 多 的 电影 采用 蓝光 格式 。 同 样 ， 
如 果 你 的 朋友 都 用 蓝光 播放 器 ， 你 也 会 买 蓝光 而 不 是 HD DVD 播 放 器 ， 
因为 这 样 ， 你 和 朋友 互 换 电 影 会 更 容易 。 因 此 ， 仅 仅 用 了 两 年 的 时 间 ， 
HD DVD 就 成 了 历史 。 


谁 最 终 获 胜 ? 


早 在 HD DVD 被 淘汰 之 前 ， 残 有 无 数 相似 的 拉 术 标准 被 苑 争 者 迅 
速 取代 ， 从 而 暗淡 地 退出 历史 舞台 ， 如 Betamax 模 拟 磁 带 以 及 俄罗斯 
标准 铁路 轨道 等 。 因 为 网 络 效应 ， 你 可 能 没 听 过 这 些 被 答 代 的 东西 。 
有 时 候 ， 胜 出 者 是 因为 其 压倒 性 的 技术 优势 ， 就 如 同 尼 古 拉 : 特 斯 拉 
CNikola Tesla) 的 交流 电网 在 与 托马斯 :爱迪生 的 直流 电网 中 获得 的 
优势 一 样 。 然 而 ， 大 多 数 时 候 ， 失 败 一 方 事实 上 在 技术 上 更 胜 一 筹 ， 
比如 Betamax 磁 种 就 输 给 了 VHS 磁带， 可 见 网 络 效 应 如 此 之 大 ， 以 至 
于 微小 的 技术 劣势 可 以 忽略 。 


以 上 的 推理 说 明 ， 即 使 后 面 跟 随 的 其 他 货币 在 技术 上 更 先进 ， 最 终 
只 有 一 个 加 密 货 币 会 占 主导 地 位 《目前 看 来 可 能 是 比特 币 ， 因 为 它 是 当 


前 最 流行 的 货币 ) 。 但 如 果 仅 仅 只 是 这 样 看 待 货币 之 间 的 竞争 ， 那 就 会 
过 于 肤浅 ， 加 密 货 币 之 间 的 竞争 ， 之 所 以 不 像 光 盘 格 式 之 间 的 竞争 那么 
你 死 我 活 ， 至 少 有 以 下 两 个 原因 : 


首先 ， 用 户 从 一 种 加 密 货币 转 回 男 一 种 相对 容易 ， 服 务 商 也 容易 接 
受 多 种 加 密 货币 ， 这 音 味 着 多 种 加 密 货 币 更 易于 共存 和 发 展 。 加 密 货 
的 这 种 特性 在 经 济 学 上 被 称 为 较 低 的 转换 成 本 。 相 反 ，DVD 播 放 器 的 转 
换 成 本 很 咒 ， 因 为 绝 大 多 数 人 不 需要 两 个 答 重 的 播放 器 摆 在 家 里 ， 如 果 
更 换 到 另外 一 种 播放 器 ， 也 不 容易 把 已 丝 有 的 光盘 转化 为 另外 一 种 格 
式 。 当 然 ， 加 蜜 货币 之 间 的 转换 成 本 也 不 是 完全 没有 。 比 如 ， 用 户 也 许 
己 经 购买 了 一 个 硬件 版 的 钱包 ， 如 果 转 换 其 他 货币 ， 便 件 钱包 可 能 无 法 
升级 转化 。 但 是 正常 来 说 ， 转 换 加 密 货 币 并 同时 使 用 多 种 加 密 货 币 是 很 
简单 的 。 


其 次 ， 正 如 前 面 提 到 过 的 ， 很 多 另类 币 之 所 以 存在 ， 是 有 其 独特 的 
功能 基础 的 。 这 些 另 类 币 并 不 只 是 比特 币 的 蔡 代 品 。 它 们 和 比特 币 功能 
有 交叉 ， 甚 至 互补 。 从 这 个 角度 看 ， 可 以 功能 互补 的 另类 币 实际 上 扩大 
了 比特 币 的 用 途 ， 而 并 不 仅仅 是 和 比特 币 竞争 。 例 如 ， 假 设 域名 币 成 功 
了 ， 和 那么 比特 币 的 用 户 在 使 用 比特 币 的 时 候 ， 就 多 了 一 个 选择 。 


当然 ， 如 果 把 它们 之 间 的 关系 都 理解 成 愉快 的 合作 共 赢 ， 也 过 于 肤 
浅 。 一 些 忆 类 币 ， 比 如 茉 特 币 ， 束 是 想 要 用 更 加 高 效 的 方式 来 达到 比特 
币 的 功能 。 莱 特 币 的 创新 功能 ， 其 实 都 可 以 在 比特 币 体 系 里 实现 ， 或 者 
用 相对 笨拙 的 办 法 来 实现 《第 11 章 将 做 进一步 的 讨论 ) 。 文 持 在 比特 币 
体系 基础 上 持续 改进 的 人 认为 ， 多 种 另类 币 分 散 了 可 用 哈 希 算 力 ， 从 而 
使 每 个 独立 货币 不 太 安 全 。 


相反 ， 文 持 另 类 币 的 人 则 认为 ， 另 类 币 可 以 让 市 场 决定 什么 功能 值 
得 拥有 、 什 么 系统 更 加 优越 等 。 他 们 同时 还 认为 ， 多 种 尺 类 币 系 统 同 时 
存在 的 话 ， 可 以 把 任何 一 个 货币 系统 灾难 性 的 损失 控制 在 一 定 范 围 内 。 
他 们 也 指出 ， 比 特 币 开发 者 高 度 风险 厌恶 ， 不 管 是 通过 软 分 文 还 是 便 分 


文 ， 加 入 任何 新 功能 ， 都 是 非常 缓慢 和 困难 的 。 相 反 ， 在 另类 币 上 很 容 
易 去 尝试 新 想法 。 因 此 ， 可 以 把 另类 币 视 为 比特 币 新 功能 的 实验 田 。 


实际 上 ， 最 终结 果 就 是 ， 比 特 币 和 另类 币 的 支持 者 之 间 既 相互 竞争 
也 相互 合作 。 


10.4 为 类 币 的 天 折 与 共同 挖 矿 


本 市 和 下 届 将 继续 讨论 比特 币 和 男 类 币 的 搁 术 相关 性 ， 而 暂时 搁置 
文化 、 政 治 和 经 济 因 素 。 


丸 类 币 的 天 折 


截至 2015 年 ， 比 特 币 的 哈 希 算 力 让 所 有 任何 其 他 另类 币 相形 见 细 。 
事实 上 ， 存 在 几 个 势力 强大 的 矿工 或 者 矿 池 ， 他 们 控制 的 挖 矿 能 力 高 于 
所 有 其 他 另类 币 的 挖 矿 能 力 总 和 。 这 样 的 矿工 或 者 矿 池 ， 可 以 轻松 攻击 
一 个 小 的 另类 币 (如果 他 们 也 用 和 比特 币 一 样 的 SHA-256 挖 矿 谜 题 〉， 
通过 制造 厢 品 和 大 规模 混乱 ， 最 终 毁 了 该 另类 币 。 我 们 称 这 种 现象 为 另 
类 币 的 天 折 。 


用 宝贵 的 挖 矿 算 力 去 攻击 其 他 货币 ， 并 且 得 不 到 明显 的 金钱 回报 ， 
为 什么 会 有 人 这 么 做 ? 以 2012 年 盘旋 币 〈CoiledCoin ) 被 攻击 为 例 : 比 
特 币 矿 池 Eligius 的 总 管 认 为 ， 盘 旋 币 是 个 骗局 ， 会 对 整个 加 密 货币 的 生 
态 系 统 产 生 冲 击 。 所 以 ，Eligus 将 其 挖 矿 资源 全 部 用 在 盘旋 币 上 ， 制 造 
出 的 区 块 链 把 盘旋 币 几 天 的 交易 给 对 冲 掉 ， 同 时 挖 了 一 条 很 长 的 空 区 块 
链 。 这 造成 了 其 他 盘旋 币 用 户 无 法 再 使 用 盘旋 币 的 服务 ， 也 就 无 法 再 产 
生 任 何 新 的 交易 。 在 盘旋 币 经 历 了 短暂 的 攻击 后 ， 用 户 放弃 了 盘旋 币 ， 
它 从 此 销声匿迹 。 在 这 个 案例 ， 以 及 其 他 类 似 的 另类 币 天 折 的 案例 里 ， 
攻击 者 都 是 出 于 金钱 以 外 的 动机 而 发 动 攻击 的 。 


如 果 一 个 男 类 币 复制 了 比特 币 的 源 代码 但 是 没有 做 任何 修改 ， 按 道 
理 在 这 个 另类 币 上 的 挖 矿 是 有 排他 性 的 。 也 就 是 说 ， 你 可 以 去 试图 找 控 
矿 谜 题 的 答案 从 而 找到 一 个 有 效 的 区 块 链 ， 但 是 只 能 给 男 类 币 或 者 比特 
币 ， 不 能 一 石 二 乌 。 你 可 以 把 你 的 挖 矿 资 源 在 比特 币 和 另类 币 上 做 分 
配 ， 你 甚至 可 以 在 多 种 另类 币 上 分 配 资源 而 且 随 时 调整 配置 ， 但 是 你 无 
法 让 挖 矿 资 源 同时 服务 于 多 种 货 


在 这 种 具有 排他 性 挖 矿 的 条 件 下 ， 网 络 效应 会 使 很 多 另类 币 无 法 实 
现 自 我 增强 式 的 循环 及 展 。 如 果 你 开发 了 一 个 新 的 妨 类 币 并 成 功 说 服 当 
前 的 比特 币 矿工 加 入 你 的 另类 币 体 系 ， 为 此 ， 他 们 必须 停止 比特 币 的 挖 
矿 ， 也 就 意味 着 他 们 会 立刻 产生 相关 损失 。 因 此 ， 他 们 没有 动力 加 入 你 
的 男 类 币 体系 ， 也 束 意 味 看 你 的 为 类 币 很 可 能 只 有 很 低 的 哈 希 算 力 ， 也 
号 很 容易 被 其 他 比特 币 矿 工 攻击 并 天 折 。 


征 否 可 以 设计 出 这 样 一 种 妨 类 币 ， 它 可 以 允许 同时 在 该 币 和 比特 币 
上 进行 控 矿 ? 为 了 达到 这 个 目的 ， 则 必须 创造 出 包含 比特 币 和 该 妃 类 币 
相互 交易 的 区 块 链 ， 以 使 这 些 交 易 在 两 个 区 块 链 均 有 效 。 设 计 可 使 比特 
币 的 交易 出 现在 其 区 块 里 的 另类 币 ， 这 个 并 不 难 ， 我 们 可 以 设计 任何 想 
要 的 另类 币 的 规则 。 但 反 过 来 却 很 难 。 如 何 把 另类 币 的 交易 放 入 比特 币 
区 块 链 上 ? 第 3 章 和 第 8 章 已 经 介绍 了 如 何 把 任意 数据 放 在 比特 币 的 区 块 
里 ， 但 是 这 样 做 会 遇 到 比特 币 特 有 的 带宽 限制 ， 即 其 数据 传输 量 非常 有 
限 。 


然而 还 是 有 巧妙 的 办 法 : 虽然 不 能 把 另类 币 的 交易 内 容 放 进 比特 币 
的 区 块 里 ， 但 是 可 以 把 另类 币 的 交易 概要 以 哈 希 指针 的 形式 放 入 比特 币 
区 块 中 。 找 一 个 可 以 在 每 一 个 比特 币 区 块 里 放 入 一 个 哈 希 指针 的 办 法 很 
容易 。 具 体 来 说 ， 回 想 一 下 本 书 曾经 提 过 每 个 比特 币 区 块 都 有 一 个 特殊 
的 交易 ， 称 为 币 基 交易 ， 也 就 是 矿工 创建 新 的 区 块 所 得 的 比特 币 奖励 。 
这 种 交易 的 输入 脚本 《〈scriptSig) 区 域 没 有 任何 内 容 ， 因 此 可 以 用 来 存 
储 任意 数据 (当然 也 不 需要 对 币 基 交易 进行 签名 认证 ， 因 为 没有 任何 前 


序 交 易 ) 。 所 以 在 一 个 共同 挖 人 矿 的 另类 币 体 系 里 ， 控 夏 的 任务 束 是 去 计 
算 一 类 特殊 的 比特 币 区 块 ， 币 基 交 易 的 输入 脚本 区 域 存 有 指 问 妨 类 币 区 
块 的 哈 希 指针 。 


这 个 区 块 现在 可 以 身 兼 二 职 : 对 比特 币 客户 端 来 说 ， 其 与 任何 其 他 
比特 币 区 块 没有 区 别 ， Rs 0 es slit 
哈 希 值 。 男 类 币 的 用 户 知 道 如 何 解 读 这 个 区 块 ， 忽略 比特 币 的 交易 ， 
St 
设计 不 需要 比特 币 做 任何 改变 ， 但 是 需要 另类 币 能 够 兼容 比特 币 ， 并 且 
允许 共同 挖 矿 。 


如 果 男 类 币 支 持 共 同 挖 矿 ， 那 么 我 们 希望 很 多 比特 币 的 矿工 也 参与 
进来 ， 因 为 这 不 需要 人 花 任 何 额外 的 哈 希 算 力 。 只 需要 增加 少量 的 运算 资 
源 去 处 理 区 块 和 交易 ， 以 及 矿工 需要 知道 和 了 解 这 个 男 类 币 ， 束 能 去 论 
费 精 力 来 挖 矿 了 。 假 如 25% 的 比特 币 矿 工 的 哈 希 算 力 同时 在 挖 男 类 币 的 
人 矿 ， 这 说 明 ， 平 均 25% 的 比特 币 含 有 指 问 为 类 币 的 指针 ， 也 束 意 味 着 ， 
在 妨 类 币 体 系 里 ， 每 阳 40 分 钟 才 能 产生 一 个 新 的 妨 类 币 。 而 更 糟 料 的 
是 ， 当 男 类 币 还 在 自我 发 展 ， 并 且 只 有 小 部 分 的 比特 币 矿工 参与 的 时 
候 ， 产 生 一 个 新 区 块 需要 几 个 小 时 甚至 儿 天 ， 这 种 局 面 实 在 让 人 无 法 接 


之 。 


有 没有 办 法 确保 参与 共同 挖 矿 的 另类 币 的 区 块 ， 能 按照 稳定 的 速度 
产生 ? 或 者 说 ， 我 们 是 否 可 以 设 定 区 块 产 生 的 速度 或 高 或 低 ， 但 与 比特 
币 中 多 少 比 例 的 人 参与 共同 挖 矿 无 关 ? 答案 是 肯定 的 。 奥 妙 在 于 ， 虽 然 
另类 币 的 挖 矿 任 务 和 比特 币 一 样 ， 但 是 挖 矿 的 目标 不 同 。 另 类 币 体系 计 
算 的 目标 和 困难 程度 和 比特 币 体系 中 的 目标 和 困难 程度 都 没有 关系 。 残 
如 比特 币 可 以 调整 其 计算 目标 使 每 个 区 块 按 平均 每 分 钟 产 生 10 个 的 速度 
一 样 ， 男 类 币 也 可 以 调整 自己 的 目标 使 区 块 在 为 类 币 体 系 也 以 每 10 分 钟 
或 其 他 固定 值 产 生 一 个 。 


这 意味 着 ， 男 类 币 的 目标 值 要 远 远 小 于 比特 币 的 目标 值 。 部 分 ， 甚 


至 是 大 部 分 另类 币 的 区 块 将 不 会 被 有 效 的 比特 币 区 块 的 指针 指引 到 。 但 
是 这 并 不 会 带 来 问题 ， 你 只 需要 把 比特 币 区 块 链 和 另类 币 区 块 链 看 成 是 
两 个 平行 并 列 的 数据 链 ， 只 是 偶尔 有 从 比特 币 指向 另类 币 的 指针 ， 详 见 
图 10.5 所 示 。 在 图 示 的 例子 中 ，60% 的 比特 币 矿 工 同时 也 挖 另类 币 的 
矿 ， 另 类 币 大 约 5 分 钟 产 生 一 个 。 这 意味 着 另类 币 的 挖 矿难 度 系数 是 比 
特 币 的 60%x5/10=30%。 图 中 40% 的 比特 币 区 块 没 有 包含 指向 另类 币 的 
哈 希 指针 。 


加 另类 币 区 块 
| 共同 挖 矿产 生 的 比特 币 


非 另类 币 矿工 挖 出 的 比特 币 
由 共同 挖 矿 矿 工控 出 的 ， 由 于 不 能 满足 比特 币 要 求 而 失败 的 比特 币 区 块 ， 但 满足 另类 币 
L_ | 的 要 求 


图 10.5 共同 挖 矿 

注 : 图 中 显示 了 比特 币 和 另类 币 的 区 块 链 ， 以 及 它们 之 间 的 相互 作用 。 

相反 ， 每 个 有 效 的 另类 币 都 是 比特 币 挖 矿 的 结 有 末 ， 但 是 在 所 有 满足 
另类 币 的 挖 矿 算 法 结果 中 ， 只 有 30% 能 达到 比特 币 的 要 求 。 对 于 另外 
709% 满 足 另 类 币 要 求 却 无 法 满足 比特 币 要 求 的 区 块 ， 另 类 币 的 网 络 需要 
验证 这 些 区 块 是 否 真 的 符合 解决 控 矿 的 恋 题 。 最 直接 的 方法 是 同比 特 币 
相 邻 区 块 和 另类 币 区 块 进行 广播 。 更 聪明 的 方法 ， 是 只 广播 比特 币 相 邻 
区 块 的 标题 部 分 和 比特 币 区 域 中 包含 币 基 交易 的 二 进 制 证 明 。 


里 然 很 罕见 ， 男 类 币 的 谜 题 也 可 能 比比 特 币 更 难 。 由 于 大 部 分 男 类 


币 希 望 产生 区 块 的 速度 要 快 于 每 10 分 钟 一 个 ， 这 种 情况 不 常见 。 当 然 如 
果 硕 望 放 慢 速度 的 话 ， 也 很 容易 做 到 。 这 种 情况 下 ， 你 就 会 看 到 有 些 矿 
工控 到 比特 币 ， 希望 这 些 也 能 成 为 为 类 币 ， 但 是 部 分 比特 币 区 块 ， 在 为 
类 币 网 络 中 ， 由 于 达 不 到 更 高 的 难度 要 求 而 被 拒绝 。 


最 后 需要 指出 ， 任 意 数 量 的 另类 币 都 可 以 同时 和 比特 币 共同 挖 矿 ， 
每 个 矿工 都 可 以 自由 选择 任意 另类 币 共同 挖 矿 。 在 这 样 多 种 另类 币 组 合 
共同 挖 矿 的 情况 下 ， 币 基 交 易 的 输入 脚本 本 号 就 是 一 个 指向 多 种 男 类 币 
的 二 叉 哈 希 树 结构 。 注 意 这 种 结构 的 复杂 性 ， 因 为 确认 包含 男 类 币 交 易 
需要 确认 以 下 几 点 : (1) 二 叉 蛤 希 树 包 含 这 个 男 类 币 的 证 明 ; (2) 二 
又 哈 希 树 证 明 包含 币 基 交易 输入 脚本 ， 而 且 里 面包 含 另类 币 的 哈 希 值 ; 
(3) 二 又 哈 希 树 证 明 比 特 币 区 块 或 者 附近 区 块 有 币 基 交易 的 输入 脚 
本 。 


共同 挖 矿 和 安全 


共同 挖 矿 是 一 把 双 丸 剑 。 正 如 本 书 讨论 过 的 ， 它 可 以 使 一 个 男 类 币 
更 易 实现 自我 增长 的 循环 发 展 ， 通 过 增加 总 算 力 从 而 提高 其 抗 攻 击 能 
力 。 这 种 情况 下 ， 想 通过 购买 算 力 去 破坏 另类 币 的 恶意 竞争 对 手 就 需要 
付出 巨大 的 前 期 投资 。 


另 一 方面 ， 有 人 可 能 会 认为 这 是 一 个 安全 假象 。 因 为 恶意 竞争 对 手 
可 以 通过 共同 挖 矿 来 产生 比特 币 ， 收 回 一 部 分 前 期 投资 ， 同 时 ， 使 攻击 
男 类 币 的 边际 成 本 变 得 很 小 。 把 恶意 苋 争 者 看 成 规模 很 大 的 比特 币 矿 
工 ， 也 许 更 易于 理解 。 事 实 上 ， 前 文 提 到 的 天 折 的 盘旋 币 ， 就 是 允许 共 
同 挖 矿 的 。 攻 击 者 矿 池 Eligius 和 参与 攻击 者 并 不 需要 停止 比特 币 挖 矿 就 
可 以 展开 攻击 。 事 实 上 ， 丰 池 的 参与 者 其 全 都 不 知 着 他 们 的 计算 资源 被 
用 于 攻击 另类 币 。 


[RS 


另类 币 的 挖 矿 迹 题 趋 努 


截至 2015 年 ， 无 论 是 否 允许 共同 挖 矿 ， 很 少 有 另类 币 使 用 和 比特 
币 一 样 的 SHA-256 开 米 难 题 。 这 表明 ，SHA-256 算 法 被 认为 是 有 安全 
隐患 的 。Scrypt 算 法 三 是 更 受 欢迎 的 选择 ， 因 为 它 使 得 比特 币 的 ASIC 
在 挖 矿 或 者 攻击 另类 币 上 变 得 蝇 无 用 处 。 不 过 ， 用 于 莱特 币 挖 矿 所 制 
造 的 Scrypt ASIC 矿 机 可 用 于 攻击 它们 。 


站 在 一 个 理性 不 工 的 角度 ， 当 我 们 思考 是 否 会 共同 挖 矿 时 ， 我 们 会 


发 现 共同 挖 矿 有 很 多 安全 问题 。 本 书 之 前 曾 简略 地 谈 到 ， 只 有 当期 望 收 
益 大 于 期 望 成 本 时 ， 挖 矿 才 有 意义 。 对 于 比特 币 挖 矿 来 说 ， 成 本 主要 是 
计算 哈 硕 值 。 但 是 对 比特 币 矿工 来 说 ， 决 定 是 人 否 和 男 类 币 共 同 挖 矿 并 不 
会 对 喻 希 计 算 成 本 产生 影响 。 额 外 的 成 本 来 自 其 他 方面 : 计算 、 币 党 、 
用 于 验证 妨 类 币 交 易 的 存储 空间 ， 以 及 需要 使 软件 实时 更 新 及 在 力 类 币 
出 现 硬 分 又 或 者 软 分 又 时 ， 做 出 非 正 式 决 定 。 


这 样 的 推理 引出 两 个 有 洞察 力 的 观点 。 第 一 ， 共 同 挖 矿 有 很 强 的 规 
模 效 应 ， 因 为 所 有 的 矿工 所 花费 的 成 本 相同 ， 不 管 其 哈 硕 算 力 有 多 大 。 
这 与 比特 币 有 明显 差异 ， 因 为 在 比特 币 体 系 中 ， 成 本 和 哈 希 算 力 成 正 
比 。 对 于 小 的 低 价值 另类 币 ， 由 于 低 的 哈 希 算 力 ， 一 个 小 的 独立 矿工 公 
开 挖 矿 的 成 本 超过 了 回报 ， 因 此 其 无 法 获 利 。 截 至 2015 年 ， 退 过 控 男 类 
币 获 得 的 收入 只 占 了 比特 币 收 入 的 很 小 一 部 分 。 这 预示 着 ， 与 比特 币 体 
系 比 ， 共 同 挖 矿 的 另类 币 将 会 更 具 中 心 化 。 


有 预测 指出 ， 大 部 分 矿工 会 选择 外 包 来 对 他 们 的 交易 进行 验证 。 鸭 
类 币 规 模 越 小 ， 矿 工 束 越 有 动力 去 找 外 包 。 最 简单 的 办 法 残 是 加 入 比特 
币 矿 池 。 因 为 矿 池 通 兽人 普 代 矿工 进行 运算 。 矿 池 管 理 员 验 证 比特 币 和 为 
类 币 区 块 交易 ， 收 集 添加 包含 男 类 币 的 比特 币 区 块 。 矿 工 只 需 专 注 于 解 


决 挖 矿 谜 题 并 找 出 需要 的 数值 。 这 个 预测 与 实际 非常 贴近 。 比 如 ，G 池 
(GHash.IO) ， ”曾经 最 大 的 比特 币 挖 矿 池 ， 同 时 允许 对 域名 币 、IX 币 
(IXCoin) 和 Dev 币 (DevCoin)〉 共同 控 矿 。 这 些 也 同时 成 为 最 受 欢 迎 
的 共同 挖 矿 另 类 币 。 


第 二 个 观点 ， 从 经 济 学 的 角度 讲 ， 也 许 更 加 让 人 担心 安全 性 而 不 是 
入 入 能力 太 集 中 。 如 采矿 工 的 主要 成 本 是 工作 量 证 明 ， 在 这 种 模式 设计 
下 ， 人 矿工 是 无 法 作 炊 的 。 在 哈 希 隶 数 的 安全 性 保障 下 ， 挖 矿 没 有 捷径 ， 
并 且 其 他 矿工 很 容易 并 且 也 愿意 去 验证 工作 量 证 明 。 但 是 如 果 主 要 成 本 
变 成 交易 验证 时 ， 以 上 两 个 假设 就 不 成 立 了 。 矿 工 倾 回 于 假设 他 们 收 到 
的 交易 都 是 有 效 的 ， 并 不 对 这 个 交易 做 任何 其 他 验证 。 而 且 ， 矿 工 如 果 
要 去 验证 一 个 区 块 及 其 交易 ， 其 工作 量 束 和 挖 矿 一 样 。 因 此 ， 可 以 预期 
对 于 小 的 共同 矿工 ， 他 们 有 动机 跳 过 验证 环节 。 由 于 存在 不 验证 的 矿 
工 ， 攻 击 变 得 更 加 容易 ， 因 为 一 个 恶意 的 矿工 可 以 创造 一 个 区 块 ， 让 其 
他 矿工 对 哪 条 是 最 长 的 有 效 区 块 链 产生 和 争议 。 


简 而 言 之 ， 共 同 挖 矿 在 解决 一 个 安全 问题 的 同时 ， 却 也 产生 其 他 多 
个 问题 ， 部 分 原因 是 共同 挖 矿 和 单独 挖 矿 在 经 济 收益 上 有 重大 差别 。 忌 
体 来 说 ， 考 虑 到 挖 矿 攻 击 ， 共 同 挖 矿 对 一 个 新 的 男 类 币 是 否 是 一 个 好 主 
意 还 很 难说 清 。 


1. Scrypt 是 由 著名 的 FreeBSD 黑 客 Colin Percival 为 他 的 备份 服务 Tarsnap 开 发 的 。Scrypt 不 
仅 计 算 所 需 时 间 长 ， 而 且 占 用 的 内 存 也 多 ， 使 得 并 行 计算 多 个 摘要 异常 困难 ， 因 此 利用 
rainbow table 进 行 暴力 攻击 更 加 困难 。scrypt 没 有 在 生产 环境 中 大 规模 应 用 ， 并 且 缺 乏 仔 细 
的 审 察 和 广泛 的 函数 库 文 持 。 一 一 译 者 注 


10.5 不 可 分 割 的 交叉 链 互 换 


在 比特 币 体 系 里 ， 在 不 同 个 体 或 群体 之 间 ， 达 成 一 项 交换 货币 或 资 
产 的 交易 很 直接 。 这 了 就 是 第 6 章 里 谈 到 的 合 币 的 原理 。 合 币 也 可 以 用 来 
交易 智能 资产 ， 第 9 章 简要 提 到 ， 第 11 章 会 再 进一步 讨论 。 本 章 前 面谈 
到 的 在 域名 币 中 出 售 域名 也 是 基于 同样 的 原理 。 


但 是 前 面 所 有 的 例子 中 ， 即 便 涉及 不 同 的 资产 ， 交 易 也 都 是 限制 在 
单一 的 区 块 链 里 。 一 般 来 说 ， 一 个 力 类 币 的 交易 和 男 外 的 其 他 为 类 币 的 
交易 历史 没有 任何 关系 也 无 法 相互 参考 ， 这 是 一 个 基本 的 无 法 路 越 的 限 
制 。 那 么 ， 是 人 否 有 其 他 办 法 可 以 互 换 不 同 的 货币 ? 比如 ， 如 果 爱 丽 丝 想 
卖 掉 a 个 另类 币 给 鲍 勃 ， 换 得 鲍 勃 的 b 个 比特 币 ， 他 们 可 以 把 这 项 交易 做 
成 是 单一 且 无 法 分 割 的 形式 吗 ? 初 看 起 来 好 像 不 太 可 能 ， 因 为 无 法 强迫 
不 同体 系 的 区 块 链 同 时 发 生 相 关 的 交易 。 如 果 其 中 一 个 人 ， 假 设 是 爱丽 
丝 ， 先 执行 交易 ， 有 什么 办 法 可 以 阻止 鲍 肠 不 遵守 承 诡 呢 ? 


有 个 聪明 的 办 法 可 以 做 到 ， 这 用 到 了 密码 学 的 承诺 和 锁定 时 间 在 
储 ， 这 是 两 个 我 们 已 经 讨论 过 的 技术 。 图 10.6 描 绘 了 这 个 协议 。 和 暂时 先 
假设 两 个 区 块 链 里 的 区 块 是 按 固定 步 又 轮流 产生 的 ， 每 个 时 间 单位 产生 
一 个 区 块 。T 代 表 协 议 流程 的 开始 时 间 。 


1 爱丽 丝 创建 如 下 a 个 另类 币 的 可 以 退还 存款 : 

1.1 爱丽 丝 创 建 一 个 随机 的 字符 串 x， 计 算 哈 希 值 h=H (x) 

1.2 爱丽 丝 创 建 如 下 图 所 示 存 储 A 区 块 ， 但 是 并 不 公开 

1.3 爱丽 丝 创 建 再 融资 A 区 块 ， 让 鲍 勃 签名 

1.4 一 旦 饱 勃 在 再 融资 A 区 块 签 名 ， 爱 丽 丝 公 开 存储 A 区 块 (但 是 还 没有 公开 再 融资 A 区 块 ) 
2 鲍 勃 创建 如 下 可 以 退还 的 存款 b 比特 币 : 

2.1 鲍 勃 创建 如 下 图 所 示 存 储 B 区 块 ， 但 是 并 不 公开 

2.2 鲍 勃 创建 再 融资 B 区 块 ， 让 爱丽 丝 签 名 

2.3 一 旦 爱丽 丝 在 再 融资 B 区 块 签名 ， 鲍 勃 公开 存储 B 区 块 〈 但 是 还 没有 公开 再 融资 B 区 块 ) 

情景 1: 爱丽 丝 按照 计划 完成 兑换 

3.1 在 Ti 爱丽 丝 索 回 比特 币 ， 把 x 给 鲍 勃 (和 其 他 所 有 人 ) 

3.2 在 也 索 回 另 类 币 

情景 2: 爱丽 丝 改 变 主意 ， 不 要 比特 币 “， 也 不 让 鲍 勃 知道 x 值 

3.1 在 Ti 鲍 勃 索 回 他 的 比特 币 

3.2 在 T, 爱丽 丝 索 回 她 的 另类 币 


存储 A[ 男 类 币 区 块 ] 再 融资 A[ 另 类 币 区 块 ] 


输入 : 爱丽 丝 的 价值 为 a 的 货币 输入 : 存储 A 
输出 脚本 : 可 以 通过 签名 A 以 及 签名 B 一 起 兑现 或 者 | | 输出 : 地 址 A 
通过 签名 B 和 xs.t.H(x)=<h> 一 起 部 现 定时 :TT 


输入 脚本 : 签名 A， 签 名 B 


存储 B[ 比 特 币 区 块 链 ] 再 融资 B[ 比 特 币 区 块 ] 


输入 : 鲍 勃 的 价值 为 b 的 货币 输入 : 存储 B 
输出 脚本 ， 可 以 通过 得 名 A 以 及 签名 B 一 起 竞 现 或 者 | | 输出 ， 地址 B 
通过 签名 A 和 xs.t.H(x)=<h> 一 起 兑现 定时 :TT 


输入 脚本 : 签名 A， 签 名 B 


图 10. 6 不 可 分 割 的 交叉 链 互 换 协 议 
原作 者 写 的 是 另类 币 ， 应 该 是 笔 误 。 译 者 注 
第 一 步 ， 爱 丽 丝 存储 a 价值 的 男 类 币 [这 里 的 存 意味 着 把 货币 发 给 
输出 脚本 〈ScriptPubkey) ， 并 在 里 面 注 明 只 有 两 种 情况 可 以 使 用 这 笔 
货币 」。 这 个 存款 只 有 通过 以 下 两 种 方法 可 以 取得 此 a 价值 男 类 币 : 第 


一 ， 如 果 爱 丽 丝 和 鲍 动 两 个 人 部 同意 ， 他 们 可 以 取 回 。 事实 上 ， 爱 丽 丝 
只 有 在 鲍 动 签 闭 回 蒜 交易 后 ， 她 才 公 开 这 个 存 丈 。 这 样 束 保证 如 果 两 个 
时 间 单 位 过 去 后 ， 存 球 还 没有 被 领取 ， 她 可 以 赎 回 她 的 存 球 。 


为 外 一 个 办 法 是 在 任何 时 候 ， 提 供 鲍 动 的 签名 和 x 的 值 ， 通 过 x 的 值 
去 开启 哈 希 函数 的 承诺 h。 注 意 ， 把 <h> 写 在 存储 A 的 区 块 里 来 表明 爱丽 
丝 特意 把 hb 写 入 输出 脚本 。 因 为 只 有 爱丽 丝 知道 x， 所 以 在 最 后 阶段 ， 任 
何 单独 一 方 无 法 索取 存款 。 这 个 方法 就 是 ， 当 且 仪 当 爱 丽 丝 拿 到 比特 
币 ， 鲍 勃 才 知道 x 的 地 址 ， 他 才能 索取 另类 币 。 


第 二 步 大 体 是 第 一 步 的 反 向 过 程 。 鲍 勃 存 b 单 位 比特 币 ， 这 些 比特 
币 只 能 在 两 种 情况 下 才能 被 取 走 。 很 重要 的 区 别 是 ， 鲍 玛 并 不 需要 创建 
一 个 新 的 谜 题 。 相 反 ， 他 用 相同 的 哈 希 值 h ( 把 这 个 h 值 从 存储 A 区 块 简 
单 复制 到 存储 B 区 块 )。 哈 硕 值 h 就 是 链接 两 个 区 块 链 的 钥 古 。 


这 时 ， 爱 丽 丝 有 主动 权 ， 她 可 以 临时 变 卦 。 如 果 在 T1 时 ， 爱 丽 丝 还 
没有 表示 要 给 鲍 芝 x 值 ， 鲍 劲 可 以 简单 地 取 回 他 的 存 秋 退出 交易 。 爱 丽 
丝 的 男 一 选择 是 在 T1 之 前 取 走 鲍 动 的 比特 币 ， 但 是 她 必须 创建 并 广播 输 
入 脚本 ， 里 面 含有 x 值 。 鲍 动 看 到 这 个 广播 就 可 以 用 x 值 去 领取 爱丽 丝 的 
男 类 币 ， 兄 换 的 交易 完成 。 


注意 ， 如 果 爱 丽 丝 稍微 晚点 领取 鲍 动 的 比特 币 〈 在 T1 之 后 但 是 在 
T2 之 前 ) ， 鲍 勃 可 能 同时 拿 走 两 笔 存款 。 类 似 地 ， 如 果 爱 丽 丝 及 时 合 走 
鲍 牵 的 比特 币 ， 但 是 鲍 劲 等 太 久 还 没 取 走 爱丽 丝 的 ， 那 么 爱丽 丝 也 可 以 
把 两 个 都 拿 走 。 但 这 不 是 问题 ， 只 要 保证 双方 无 法 在 协议 上 欺骗 对 方 就 
可 以 ， 目 己 的 政 急 或 者 故意 令 慢 不 是 系统 考 碟 的 范围 。 


最 后 ， 区 块 在 比特 币 和 另类 币 中 ， 并 不 是 按照 固定 时 间 产 生 的 。 这 
种 情况 会 造成 一 些 混乱 ， 特 别 是 两 个 区 块 链 没有 协调 一 臻 时。 假设 两 个 
区 块 链 各 自 平均 10 分 钟 产 生 一 个 区 块 。 以 1 小 时 为 时 间 单位 ， 也 就 是 
说 ， 需 要 T] 至少 为 现在 另类 币 区 块 +12，To 至 少 为 现在 比特 币 区 块 +6， 


也 许 能 带 来 更 大 安全 边际 。 


遗憾 的 是 ， 存 在 很 小 的 可 能 性 ，12 个 另类 币 区 块 已 经 找到 ， 但 后 面 
6 个 比特 币 还 没有 找到 。 这 时 ， 爱 丽 丝 可 以 索取 两 个 存 丈 。 可 以 通过 增 
加 时 间 单 位 来 降低 可 能 性 ， 但 是 会 牺牲 速度 。 


这 是 一 个 清晰 明了 的 协议 ， 但 是 截至 2015 年 ， 还 没有 人 用 到 。 相 
反 ， 所 有 加 密 货 币 都 是 在 传统 的 中 心 化 的 交易 系统 里 交易 。 造 成 这 种 现 
象 有 很 多 原因 : 第 一 是 该 协议 的 复杂 、 不 便 和 缓慢 ; 第 二 ， 这 个 协议 可 
以 防止 偷盗 货币 ， 但 是 不 能 防范 服务 性 攻击 。 有 人 或 许 以 诱 人 的 况 换 价 
格 作 为 广告 ， 但 是 在 协议 原型 的 第 一 步 或 第 二 步 束 反悔 退出 ， 这 浪费 了 
每 个 人 的 时 间 。 为 了 减缓 这 种 情况 ， 也 为 了 集合 并 匹配 大 家 的 需求 ， 可 
能 需要 一 个 中 心 化 的 交易 平台 《机 制 ) ， 即 使 如 此 ， 也 不 能 完全 相信 它 
不 会 偷 你 的 货币 。 这 种 情况 进一步 降低 了 该 协议 原型 的 使 用 范围 。 


10.6 侧 链 一 一 基于 比特 币 的 为 类 币 


本 章 前 面部 分 探讨 过 给 现 有 比特 币 所 有 者 配置 新 的 另类 币 的 两 种 方 
法 : 或 者 要 求 用 户 把 比特 币 销毁 从 而 得 到 另类 币 ， 或 者 简单 地 把 另类 币 
发 给 现 有 比特 币 所 有 者 ， 这 些 所 有 者 必须 拥有 还 没有 用 掉 的 比特 币 。 正 
如 我 们 看 到 的 ， 任 何 一 种 方式 都 不 需要 另类 币 的 价格 盯 住 比特 币 。 没 有 
这 种 汇率 锁定 机 制 ， 在 发 展 初期 ， 另 类 币 的 价格 会 变化 很 大 。 侧 链 
Csidechains) 的 目的 就 是 避免 另类 币 价格 变化 太 大 ， 因 为 价格 的 波动 太 
大 会 导致 很 多 问题 ， 也 会 使 另类 币 分 心 乏 术 ， 无 法 真正 专注 于 技术 上 的 


苋 搜 。 


下 面 介绍 使 男 类 币 的 价格 以 固定 汇率 的 形式 盯 住 比特 币 的 相关 技 
术 。 首 移 ， 所 有 者 必须 把 所 拥有 的 一 定数 量 的 比特 币 放 入 托管 账户 ， 这 
样 才 能 创造 出 一 个 单位 的 另类 币 〈 或 者 固定 单位 的 另类 币 ) ， 这 样 所 有 
者 才 可 以 在 另类 币 区 块 链 上 正常 使 用 另类 币 。 最 后 ， 所 有 者 必须 能 够 销 
毁 目 己 拥有 的 另类 币 ， 从 而 取 回 之 前 存在 托管 账户 上 的 比特 币 。 这 种 构 
建 像 零 币 ， 通 过 托管 基础 币 而 创造 零 币 。 区 别 在 于 ， 需 要 在 两 个 不 同 的 
区 块 链 里 进行 上 述 操作 。 


遗憾 的 是 ， 据 我 们 了 解 ， 由 于 比特 币 的 交易 无 法 被 其 他 区 块 链 的 事 
件 所 影响 ， 目 前 还 未 找到 可 以 不 改动 比特 币 而 达到 这 种 效果 的 方法 。 截 
至 目前 ， 比 特 币 的 脚本 还 没有 强大 到 可 以 确认 整个 单独 的 区 块 链 。 好 消 
恩 是 ， 我 们 可 以 通过 相对 实用 一 后 的 软 分 叉 来 修改 比特 币 ， 这 也 是 侧 链 
的 原理 。 侧 链 的 愿景 是 ， 将 比特 币 作 为 储备 货币 ， 打 造 多 种 莲 劲 发 展 、 
快速 创新 和 实验 的 另类 币 。 截 至 2015 年 ， 侧 链 还 只 是 一 个 提案 。 但 是 比 
特 币 社区 正在 积极 参与 这 个 提案 ， 目 前 已 取得 一 些 实质 性 的 进展 。 侧 链 
的 提案 还 处 于 变化 之 中 ， 所 以 为 了 便于 学 习 和 理解 ， 我 们 适当 简化 了 一 


些 细节 。 


扩展 比特 币 的 功能 ， 使 之 能 够 使 侧 链 苋 换 成 比特 币 ， 最 显而易见 但 
不 太 实 用 的 办 法 是 :把 所 有 侧 链 的 规则 ， 包 括 验证 所 有 侧 链 的 交易 和 检 
查 侧 链 的 工作 量 证 明 ， 都 包含 在 比特 币 体系 里 。 这 个 方法 不 实用 是 因为 
这 样 会 使 比特 币 扩展 出 来 的 程序 过 于 复杂 ， 验 证 比特 币 的 市 点 会 非常 困 
难 。 而 且 ， 链 接 上 的 侧 链 越 多 ， 复 杂 度 和 困难 度 就 越 大 。 


SPV 技 巧 


可 以 使 用 SPV 证 明 技巧 来 避免 这 种 复杂 局 面 。 在 第 3 章 中 ， 我 们 
提 到 简单 付款 验证 (Simple Payment Verification， 简称 SPV) 。SPV 可 
用 于 小 的 客户 痢 ， 比 如 手机 上 的 比特 币 应 用 程序 (APP，〉。SPV 市 扩 不 
需要 对 其 不 感 兴 趣 的 交易 做 验证 ， 它 们 只 校 验 区 块 的 标题 。SPV 客 户 只 
看 他 们 感 兴趣 的 交易 ， 并 确信 是 在 最 长 的 区 块 链 内 ， 并 不 担心 该 链 是 否 
是 最 长 的 有 效 链 。 因 为 他 们 假定 矿工 在 创建 该 区 块 链 并 花 精 力 去 挖 矿 之 
前 ， 已 经 验证 过 里 面 的 交易 了 。 


也 许 ， 可 以 扩展 比特 币 的 脚本 让 它 能 验证 侧 链 里 某 些 特殊 的 交易 
《比如 销毁 一 个 侧 链 币 的 交易 ) 。 在 比特 币 里 使 用 这 种 延展 命令 的 贡 
点 ， 仍 然 会 全 面 验证 比特 币 的 区 块 链 ， 但 是 在 侧 链 里 ， 可 能 只 会 验证 相 
对 轻 量 级 的 SPV。 


对 一 个 交易 提出 异议 


这 种 方法 要 好 一 些 ， 但 仍 不 完美 。 即 使 做 最 简化 的 验证 ， 比 特 币 的 
节点 仍然 要 链接 到 侧 链 的 点 对 点 网 络 〈 每 个 链接 上 比特 币 的 侧 链 都 需要 
如 此 ) ， 并 且 奶 踩 所 有 侧 链 区 块 的 标题 用 于 决定 侧 链 最 长 的 分 文 。 最 终 


我 们 想 要 的 是 : 当 一 个 交易 要 把 侧 链 的 货币 转化 成 为 比特 币 时 ， 它 本 刁 
就 包含 比特 币 节 点 需要 的 用 于 验证 其 合法 性 的 所 有 信息 ， 也 就 是 说 ， 验 
证 特定 的 侧 链 是 真实 发 生 的 。 这 就 是 SPV 证 明 的 定义 。 


这 里 介绍 一 种 可 行 的 办 法 ， 唯 一 的 缺憾 是 这 个 侧 链 的 组 成 部 分 还 在 
进一步 研究 中 。 为 了 在 比特 币 里 可 以 对 照 到 侧 链 ， 用 户 必 须 证 明 : 
(1) 侧 链 区 块 里 包含 侧 链 交易 ;， (2) 侧 链 的 标题 表明 这 个 区 块 已 经 接 
受过 一 定 次 数 的 认证 ， 这 意味 着 一 定数 目的 工作 量 证 明 。 比 特 币 会 验证 
这 些 证 明 ， 但 是 不 会 去 验证 这 个 区 块 尖 部 展示 的 链 是 最 长 的 。 相 反 ， 比 
特 币 会 等 一 定 的 时 间 ， 比 如 1~2 天 ， 让 其 他 用 户 去 找 证 据 证 明 ， 第 二 步 
所 指 回 的 区 块 标题 并 不 在 最 长 分 文 上 。 一 旦 在 特定 时 间 范 围 内 出 现 这 样 
的 证 据 ， 比 特 币 体 系 中 ， 接 受 该 侧 链 交 易 的 区 块 将 会 被 认定 为 无 效 。 


隐 合 的 馆 辑 是 : 如 果 一 个 SPV 证 明 已 经 可 以 确定 ， 该 交易 不 在 最 长 
分 文 上 致使 其 不 应 该 被 认可 ， 那 么 应 该 有 一 些 侧 链 的 用 户 会 因 认 可 这 个 
交易 而 遭受 损失 。 这 些 可 能 遭受 损失 的 用 户 ， 有 动力 去 辩驳 SPV 证 明 。 
如 果 没 有 用 户 遭 受 损失 《也 许 是 有 一 个 分 文 ， 或 者 重组 侧 链 ， 而 且 该 交 
易 也 恰好 在 别 的 分 文 上 ) ， 那 接受 这 个 证 明 也 无 妨 。 


一 般 来 说 ， 系 统 这 样 设计 ， 对 侧 链 问题 并 非 早 无 漏洞 ， 系 统 也 不 会 
阻止 你 目 己 搬 石 头 古 目 己 的 脚 。 如 果 你 把 比特 币 转 成 有 加 密 隐 患 的 侧 
链 ， 其 他 人 也 许 能 偷 走 你 的 侧 链 币 然后 再 转 成 比特 币 。 或 者 ， 在 侧 链 的 
冬夏 ， 也 许 会 因为 侧 链 漏洞 而 全 部 裔 谈 ， 导 致 对 应 的 比特 币 也 被 丛 。 但 
征 可 以 衣 定 的 是 ， 侧 链 的 问题 不 会 毁 掉 比特 币 : 具体 地 说 ， 不 管 侧 链 有 
多 少 漏洞 ， 所 有 者 都 无 法 在 侧 链 上 兑现 两 次 同一 货币 ， 也 就 是 次 侧 链 不 
允许 比特 币 挖 矿 。 


通过 权益 证 明 精 人 简 SPV 证 明 的 条例 


还 有 一 个 障碍 需要 跨越 。 有 些 侧 链 生成 区 块 的 速度 很 快 ， 也 许 每 几 
秒 钟 就 能 产生 一 个 区 块 。 这 种 情况 下 ， 对 比特 币 市 点 来 次 ， 单 单 验证 
SPV 证 明 惑 已 经 负担 很 重 了 。 这 时 ， 可 以 用 一 个 比较 聪明 的 统计 学 方 
法 ， 大 幅 减少 对 N 个 区 块 的 验证 ， 也 就 是 大 幅 减 少 O(N) 的 认证 次 数 。 


原理 如 下 : 当 验 证 深 藏 在 区 块 链 中 的 一 个 区 块 ， 其 实 是 在 验证 每 个 
建立 在 这 个 区 块 上 的 所 有 的 区 块 都 符合 目标 困难 度 (target difficulty) ， 
即 满足 哈 希 值 < 目标 值 。 这 些 区 块 的 哈 希 值 均匀 地 分 布 在 〈0， 目 标 值 ) 
的 区 域 ， 从 统计 学 角度 看 ， 这 意味 独 大 约 25% 的 区 块 可 以 满足 哈 希 值 < 
目标 值 /4. 事实 上 ， 寻 找 NM4 个 区 块 满 足 哈 希 值 < 目标 值 /4 的 工作 量 和 计算 
N 个 区 块 满足 哈 硕 值 < 目标 值 的 工作 量 一 样 。 这 个 数字 4 并 无 特别 ， 我 们 
可 以 用 任何 数 代 蔡 。 


ee Rs 
“DO 道别 DDDD 曾 记 


图 10.7 工作 证 明 跳 表 (proof-of-work skip 1ist) 三 
注 : 区 块 包含 指向 前 面 一 个 区 块 的 指针 和 指向 最 近 的 满足 哈 希 值 < 目 标 /4 的 指针 。 这 
个 原理 可 以 重复 运用 ， 比 如 一 个 第 三 层级 的 指针 指向 满足 哈 希 值 < 目标 值 /16. 三 / 


这 就 意味 着 如 果 找 到 茶 种 方法 可 以 知道 哪些 区 块 满足 哈 硕 值 < 目标 
值 4， 仅 验证 这 些 区 块 《〈 或 者 区 块 的 头 部 ) 就 可 以 使 用 1/4 的 工作 量 完成 
全 部 任务 。 如 何 找到 哪些 区 块 满 足 哈 希 值 < 目标 值 /4 呢 ? 其 实 答案 在 区 
块 本 里 。 图 10.7 显 示 ， 每 个 区 块 包含 指 癌 前 面 一 个 区 块 的 指针 ， 以 及 指 
问 最 近 的 满足 哈 希 值 < 目标 /4 的 指针 。 


可 以 压低 目标 值 到 多 小 ? 是 否 可 以 选择 很 大 的 数 ， 让 目标 值 变 得 非 
常 小 ?答案 是 人 否定 的 。 这 种 方式 的 原理 就 像 矿 池 ， 却 是 反方 向 的 操作 。 
在 矿 池 里 ， 丰 池 管 理 员 验证 大 家 的 份额 ， 也 就 是 验证 这 些 难度 系数 低 
(比较 高 的 目标 值 〉 的 区 块 。 矿 工 找到 比 区 块 更 多 的 份额 ， 所 以 矿 池 管 


理 员 必须 多 做 一 道 验证 程序 的 工作 。 这 样 做 的 好 处 就 是 ， 能 够 比较 精准 
地 估计 矿工 的 哈 希 算 力 一 一 估计 值 的 方差 较 小 。 


我 们 来 看 相反 的 交易 。 随 痢 估算 建造 ”0 . 
算 值 琵 有 很 大 的 方差 。 例如， 假设 N=4， 在 没有 使 用 跳 表 的 方案 
检测 到 有 4 个 区 块 满足 哈 希 值 < 目标 值 。 
我 们 ， 他 需要 花 4 倍 于 我 们 找到 一 个 区 块 的 平均 工作 量 才能 办 到 。 


假设 这 个 竞争 对 手 只 做 了 一 半 的 工作 。 可 以 算出 ， 竞 争 对 手 有 14% 
的 机 会 能 找到 4 个 区 块 满足 喻 希 值 < 目标 值 。 相 反 ， 在 跳 表 方案 下 用 4 作 
为 倍数 ， 竞 争 对 手 的 任务 变 成 需要 找到 一 个 区 块 ， 满 足 哈 希 值 < 目标 
值 /4。 在 这 种 情况 下 ， 懒 惰 的 只 做 了 一 半 工 作 的 竞争 对 手 ， 却 有 40% 的 
机 会 骗 过 我 们 ， 而 不 仅仅 是 14%。 


1. 跳 表 是 一 种 随机 化 的 数据 结构 ， 目 前 开源 软件 Redis 和 LevelDB 都 有 用 到 它 。 一 一 译 
者 注 
>. 16 是 2 的 1+3 次 方 。 一 一 译 者 注 ， 以 此 类 推 。 


10.7 以 太 坊 和 智能 合约 


我 们 已 经 介绍 了 几 种 用 比特 币 的 脚本 语言 写 出 有 趣 的 应 用 的 方法 ， 
如 有 托管 功能 的 文 付 诡 易 。 我 们 也 看 到 比特 币 脚 本 语言 的 一 些 瓶 颈 :， 只 
有 很 少 的 指令 ， 并 不 符合 图 灵 计 算 的 标准 。 因 此 ， 很 多 新 的 男 类 币 增 添 
与 应 用 程序 相关 的 特殊 功能 。 域 名 币 是 第 一 个 尝试 ， 后 来 又 有 许多 加 密 
仙 币 ， 类 似 于 比特 币 但 是 支持 赌博 、 股 票 发 行 、 市 场 预 测 等 。 


设想 我 们 不 需要 为 了 每 个 应 用 程序 ， 每 次 都 建设 一 套 新 的 系统 ， 而 
是 创造 出 一 个 加 密 货 币 系统 ， 以 文 持 所 有 未 来 可 以 想象 到 的 任何 应 用 。 
这 就 是 所 谓 的 图 灵 完 备 一 一 据 我 们 理解 ， 满 足 图 灵 完 备 标准 的 编程 语 
言 ， 可 以 让 你 写 出 图 灵机 可 以 完成 的 任意 功能 ， 它 可 计算 的 函数 和 图 灵 
机 可 计算 的 函数 是 完全 相同 的 。 因 此 ， 每 一 图 灵 完 备 的 编程 语言 一 一 
括 我 们 熟悉 的 Java、Python 和 Lisp 都 是 图 灵 等 价 的 。 如 果 不 考虑 实 
际 中 的 简单 性 和 表现 ， 图 灵 完 备 是 我 们 在 编程 语言 有 关 表 达能 力 上 需要 
的 最 好 的 性 质 。 


从 某 种 程度 上 讲 ， 今 天 加 密 货 币 的 发 展 使 人 回想 起 20 世 纪 40 年 代 早 
期 计算 机 发 展 的 时 代 : 在 第 二 次 世界 大 战 时 ， 建 造 大 量 的 复杂 的 只 有 东 
种 特定 功能 的 计算 器 《比如 用 于 暴力 破解 密码 的 机 器 和 海军 用 于 确定 发 
财 弹 道 轨道 的 机 器 〉， 这 些 工作 促使 研究 专家 致力 于 建造 第 一 个 可 重复 
编程 的 通用 计算 机 。 任 何 可 预见 的 应 用 程序 都 可 以 使 用 该 计算 机 ( 见 图 
10.8) 。 


图 10. 8 在 布 莱 切 利 园 (Bletchley Park) 博物 馆 重 建 的 炸弹 机 (Bombe) 
注 : 炸弹 机 是 一 个 由 阿兰 。 图 灵 (Alan Turing) 设计 的 特殊 功能 的 高 级 计算 机 ， 用 
于 破解 德国 的 英 格 玛 (Enigma) 密码 。 通 用 计算 机 取代 类 似 炸弹 机 的 精巧 装备 ， 以 太 
币 能 否 也 能 像 这 样 取代 特殊 功能 的 另类 币 呢 ? 


以 太 币 (Ethereum) 是 一 种 雄心 动 动 的 妨 类 币 ， 致 力 于 提供 一 种 满 
足 图 灵 计 算 要 求 的 可 编程 语言 ， 用 这 种 语言 可 以 编写 脚本 或 者 合约 。 虽 
然 有 其 他 方案 可 以 做 到 这 一 点 ， 但 是 以 太 坊 无 疑 是 最 引 人 注 目的 : 它 使 
用 了 儿 个 创新 的 技术 ， 成 功 地 完成 了 众 宕 ， 在 儿 个 月 内 筹资 两 干 万 美 
元 ， 并 且 采 用 激进 的 参数 ， 比 如 使 用 较 短 的 产生 区 块 的 时 间 参 数 。 以 太 
坊 系 统 本 里 很 复杂 ， 需 要 再 编写 一 本 新 的 教材 才能 完整 阐述 ， 本 市 只 做 
简要 讨论 。 


智能 合约 编程 模式 


智能 合约 最 初 是 用 来 指使 用 计算 机 系统 (或 者 其 他 自动 化 方式 ) 来 
执行 合约 。 例 如 ， 你 可 以 把 自动 售 货 机 看 成 一 个 销售 商品 的 智能 合约 ， 
执行 的 就 是 你 和 机 器 主人 之 间 关 于 如 何 购买 一 个 糖果 的 合约 。 


在 以 太 坊 体系 ， 一 个 合约 就 是 一 个 存在 区 块 链 里 的 程序 。 任 何人 文 
付 一 点 费用 ， 束 可 以 用 特定 的 操作 将 他 的 程序 上 传 ， 建立 一 个 以 太 坊 合 
约 。 这 个 合约 是 用 字 节 人 码 (bytecode) 写 的 ， 可 以 被 特殊 的 以 太 坊 专用 虚 
拟 机 (Ethereum-specific Virtual Machine， 简 称 EVM) 执行 。 一 旦 合约 
上 传 ， 便 永远 存在 在 区 块 链 里 。 智 能 合约 有 它 自 己 的 资金 账户 ， 其 他 用 
户 可 以 调用 程序 里 面 开 放 的 应 用 程序 编程 接口 (APD)， 人 合约 可 以 收发 天 
项 。 


一 个 简单 的 例子 : 以 太 坊 中 的 域名 币 


我 们 次 以 太 坊 可 以 用 来 执行 任何 特定 应 用 的 万 类 币 功能 。 举 个 简单 
的 例子 ， 我 们 可 以 展示 使 用 一 个 简单 的 以 太 坊 合约 ， 来 构建 出 域名 币 形 
式 的 功能 。 


图 10.9 所 示 就 是 一 个 构建 的 案例 。 它 是 以 “稳健 ”语言 (Solidity) 编 
写 , “稳健 ”是 以 太 坊 里 用 于 定义 合约 的 高 级 编程 语言 。 这 个 合约 产生 一 
个 原始 的 域名 /数值 Cname/value) 储存 配对 或 者 注册 名 。 名 字 永 远 连 着 
数字 。 这 个 合约 定义 了 一 个 数字 变量 一 一 注册 表 (registryTable) ， 里面 
有 32 比 特长 字 节 和 公开 密 钥 的 配对 关系 。 初 始 时 期 ， 每 个 字 贡 都 对 应 着 
空地 址 0x0000000...000。 这 个 合约 同时 定义 了 单一 入 口 点 ， 叫 “用 户 名 
称 ”(claimName) 。 这 个 入 口 点 只 接受 名 字 参 数 。 首 先 ， 这 个 合约 确认 
调用 这 个 合约 的 人 已 经 支付 了 至 少 10 个 wei。wei 是 在 以 太 坊 里 最 小 的 货 
币 单位 。 如 果 没 有 文 付 10wei, 合约 自动 终止 并 发 出 错误 信号 (“throw” 的 
编程 命令 就 做 这 些 ) 。 如 果 足 够 的 wei 已 经 发 出 而 且 这 个 名 字 还 没有 被 
注册 ， 那 么 这 个 名 字 就 和 调用 的 地 址 永久 地 联系 在 一 起 。 


contract NameRegistry { 
mapping(bytes32 => address) public registryTable; 
function claimName(bytes32 name) { 
if (msg.value < 16) { 
throw; 


if (registryTable[name] == 6) { 
registryTable[name] = msg.sender; 


} 


图 10.9 一 个 用 于 实现 域名 注册 功能 的 简单 以 太 坊 智能 合约 


以 上 就 是 这 个 8 行 代码 的 合约 能 做 的 事 。 我 们 还 可 以 多 花 点 时 间 ， 
把 其 他 域名 币 有 的 功能 都 在 这 个 合约 里 实现 。 比 如 ， 可 以 存储 拥有 者 地 
址 以 外 的 信息 ， 通 过 存储 上 次 更 新 时 间 来 要 求 域名 的 主人 定期 地 重新 注 
册 ， 并 且 人 允许 其 他 用 户 拥有 长 期 不 更 新 的 域名 权 。 


我 们 还 可 以 加 第 二 个 功能 ， 人 允许 钱 回 撤 。 按 照 初始 的 代码 设计 ， 钱 
只 能 不 断 扒 积 在 合约 里 ， 也 就 意味 着 从 流通 中 消失 。 当 然 ， 在 可 以 回 撤 
钱 的 程序 里 ， 最 好 能 设 定 ， 调 用 回 撤 的 是 合约 的 主人 。 任 何人 在 以 太 坊 
都 可 以 调用 任何 方程 ， 但 是 用 户 是 指定 的 ， 所 以 能 确认 谁 是 真正 调用 方 
程 的 人 。 


燃料 、 油 励 和 安全 


和 比特 币 不 一 样 的 是 ， 以 太 坊 支持 循环 语句 ， 虽 然 第 一 个 例子 里 并 
不 需要 循环 。 循 环 语句 一 听 就 容易 让 人 产生 警觉， 因为 有 循环 的 地 方 就 
会 有 无 限 死 循环 。 从 根本 上 说 ， 以 太 坊 合约 有 可 能 因为 种 种 原因 而 无 限 
循环。 计算 机 领域 里 一 个 着 名 的 研究 结果 〈 难 以 判断 的 终止 问题 》 证 


明 ， 不 存在 任何 算法 ， 可 以 根据 源 代 码 去 判断 一 个 程序 是 否 可 以 无 限 运 
行 下 去 。 因 此 ， 我 们 如 何 防止 合约 无 限 运 行 下 去 呢 ? 


更 进一步 讲 ， 即 使 条 约 不 会 无 限 运行 ， 也 需要 某 种 方式 来 限制 它 不 
会 运行 太 久 。 以 太 坊 体系 通过 一 种 称 作 “燃料 费用 ”的 机 制 来 实现 这 一 
点 。 简 单 地 说 ， 每 执行 一 条 虚拟 机 融 的 指令 需要 花费 一 小 部 分 的 成 本 认 
用 ， 我 们 称 之 为 “燃料 费用 ”。 不 同 的 操作 花费 不 同 。 基 本 的 像 加 减 操作 
只 花费 1 单位 燃料 费用 ， 而 计算 SHA-3 哈 希 值 〈 内 置 函 数 ) 需要 20 单 位 
燃料 费用 ， 在 永久 存储 器 上 写 256 比 特长 的 字符 需要 100 单 位 燃料 费用 。 
每 笔 交 易 也 需要 先 文 付 21 000 单 位 燃料 费用 。 你 可 以 把 以 太 坊 体系 想象 
成 超级 折扣 的 航空 公司 。 机 票 只 是 你 支付 乘 飞 机 的 费用 ， 任 何其 他 需求 
都 要 多 付 钱 。 完 整 操 作 清 单 和 固定 的 燃料 费用 都 可 以 从 以 太 坊 里 找到 。 
任何 清单 和 费用 的 变动 都 需要 以 太 坊 产生 一 个 人 硬 分 又 ， 这 和 比特 币 脚本 
语言 的 语义 改变 一 样 。 


燃料 费用 是 通过 以 太 坊 体系 内 部 被 称 为 以 太 (ether) 的 货币 来 支付 
的 。 它 只 是 在 用 来 文 付 合 约 操作 的 时 候 才 叫 燃 料 费 用 。 每 笔 交 易 都 规定 
了 燃料 的 价格 ， 也 就 是 说 ， 每 份 燃料 需要 多 少 以 太 。 人 燃料 费用 束 像 比特 
币 的 交易 费 ， 矿 工 可 以 自由 公布 交易 的 燃料 费用 ， 每 个 矿工 都 可 以 独立 
地 决定 收费 方式 。 这 样 会 得 出 一 个 反映 市 场 供求 天 系 的 燃料 市 场 价格 。 
2016 年 年 初 ， 虽 然 以 太 坊 网 络 体系 还 是 属于 实验 阶段 ， 市 场 已 经 默认 50 
外 gawei 为 1 单位 价格 。50gigawei 等 于 5x103 以 太 ， 根 据 以 太 币 和 比特 币 
2016 年 1 月 的 汇兑 比例 ， 这 也 就 是 大 约 3x10- 交 比特 币 。 


每 次 调用 之 前 ， 必 须 设 定 燃料 费用 的 最 高 限 ， 也 就 是 愿意 文 付 价格 
的 最 大 值 。 当 达到 这 个 值 〈 燃 料 用 完了 ) ， 程 序 就 会 终止 ， 发 生 的 所 有 
程序 状态 的 变化 就 会 被 重新 设置 到 原始 状态 ， 但 是 人 矿工 还 是 保留 燃料 。 
由 此 可 见 ， 不 要 用 完 燃 料 ， 这 一 点 非常 重要 。 


燃料 的 使 用 要 求 ， 意 味 看 以 太 坊 不 适合 很 耗费 资源 的 计算 。 以 太 坊 


系统 未 人 锐 设 计 成 像 云 计算 那样 的 服务 ， 即 支付 一 定 的 费用 让 云 服 务 完 成 
目 己 无 法 做 到 的 计算 。 像 亚马逊 的 弹性 计算 云 或 者 微软 云 计 算 平 侣 ， 提 
供 划算 百 万 倍 的 计算 量 。 另 一 方面 ， 以 太 坊 更 加 适合 创建 安全 逻辑 协 
议 。 本 质 上 来 说 ， 以 太 坊 提供 了 一 种 两 个 或 者 多 个 匿名 交易 者 可 以 信赖 
的 服务 系统 。 


以 太 坊 上 区 块 链 的 安全 还 没有 像 比特 币 一 样 完 善 。 理 论 上 ， 以 太 坊 
比较 复 人 本 ， 也 比较 难以 用 数学 推理 来 论证 。 实 际 上 ， 以 太 坊 才刚 刚 开 始 
发 展 ， 其 安全 性 还 没有 像 比 特 币 一 样 经 过 很 多 考验 。 尤 其 是 ， 担 心 处 理 
交易 的 成 本 会 让 类 似 比 特 币 的 激励 机 制 失效 ， 我 们 在 共同 挖 矿 的 分 析 中 
讨论 过 存在 这 种 担心 的 情况 。 当 交易 成 本 占 矿 工 的 总 成 本 的 比重 不 再 能 
忽略 不 计 的 时 候 ， 大 的 矿工 有 明显 优势 ， 因 为 成 本 和 哈 希 算 力 相互 独 
立 。 更 重要 的 是 ， 燃 料 只 文 付 给 最 初 包 括 该 交易 的 区 块 的 控 工 。 但 是 所 
有 的 在 这 之 上 建立 区 块 的 矿工 都 必须 验证 该 区 块 ， 却 得 不 到 任何 报酬 。 
这 意味 着 ， 他 们 将 有 动力 去 跳 过 该 验证 。 正 如 之 前 所 看 到 的 ， 这 种 情况 
不 利于 区 块 链 体系 的 健康 发 展 。 


第 二 个 例子 : 以 太 坊 体系 中 的 国际 象棋 


我 们 还 没 涉及 以 太 坊 中 新 功能 如 何 运 用 ， 所 以 让 我 们 看 第 二 个 采 
例 。 假 设 爱 丽 丝 和 鲍 芝 下 国际 象棋 ， 赌 注 是 一 定数 额 的 金钱 。 唯 一 的 问 
题 是 爱丽 丝 和 鲍 勃 生活 在 不 同 的 国家 ， 他 们 都 不 相信 对 方 输 了 会 文 付 财 
注 。 这 个 问题 可 以 用 以 太 坊 来 解决 。 


爱丽 丝 写 下 以 太 坊 程序 ， 这 个 程序 设 定 了 国际 象棋 的 规则 并 且 被 上 
传 到 以 太 坊 网 络 。 她 给 这 个 合约 文 付 一 定数 量 的 以 太 作 为 赌注 。 鲍 动 可 
以 看 到 这 个 合约 ， 如 果 他 答应 接受 挑战 ， 他 把 他 的 赌注 文 付 给 这 个 合 
约 ， 就 等 于 开始 了 这 个 游戏 。 鲍 动 在 接受 挑战 之 前 应 该 确认 ， 这 个 合约 
古 准 确 无 误 地 遵守 了 国际 象棋 的 规则 ， 并 且 最 后 会 把 所 有 赌注 支付 给 获 


胜 者 。 


一 旦 双方 都 支付 了 赌注 ， 假 设 他 们 约定 下 同样 的 赌注 ， 合 约会 检查 
双方 的 赌注 是 否 相 等 。 这 时 候 ， 游 戏 就 开始 了 。 任 何 一 方 除非 志 了 游 
戏 ， 人 否则 无 法 从 合约 里 取出 钱 来 。 其 他 人 在 任何 情况 下 也 无 法 取得 这 笔 
钱 。 


爱丽 丝 和 鲍 动 轮流 把 自己 的 下 棋 步 又 友 给 这 个 合约 。 这 个 合约 也 会 
检查 轮 到 谁 下 确保 指令 是 由 爱丽 丝 或 者 鲍 劲 友 出 ， 而 不 是 其 他 人 。 大 家 
征 售 还 记得 调用 者 需要 在 每 个 操作 《促使 合约 执行 一 个 动作 ) 上 签名 ， 
因为 合约 可 以 根据 签名 确认 调用 者 。 合 约 也 会 根据 国际 象棋 的 规则 校 验 
双方 的 步骤 。 如 果 一 方 试图 把 兵 移 动 3 格 ， 合 约会 拒绝 该 步 又。 


到 最 后 游戏 结束 。 合 约 在 每 一 步 痢 会 检测 是 否 有 一 方 锌 将 车 ， 或 者 
双方 打 平 ， 或 者 满足 其 他 打 平 的 条 件 。 玩 家 也 可 以 发 送 投降 的 指令 。 当 
游戏 结束 时 ， 合 约 终止 ， 并 把 所 有 的 钱 文 付 给 获胜 者 ， 或 者 平局 下 平分 
赌注 。 


从 概念 上 看 ， 这 是 一 个 以 太 坊 的 简单 应 用 ， 但 是 有 很 多 微妙 的 地 方 
值得 探讨 。 如 果 一 方 快 输 了 他 束 放 弃 了 ? 合约 应 该 设 定 一 个 机 制 ， 如 果 
一 方 在 规定 的 时 间 没 有 提交 有 效 的 下 一 步 ， 钱 就 文 付 给 力 一 方 。 


哪个 玩家 先 走 呢 ? 白 方 先 走 的 话 ， 日 方 就 拥有 微小 的 优势 。 因 此 ， 
双方 都 想 做 日 方 。 这 就 碰 到 了 以 太 坊 合约 的 一 个 难题 : 没有 内 置 的 随机 
源 。 之 所 以 是 一 个 难题 ， 是 因为 随机 数 发 生 器 需要 所 有 矿工 的 检验 《〈 因 
为 他 们 需要 检验 合约 是 否 正确 地 执行 ) ， 但 是 这 些 随 机 数 对 任何 人 来 说 
都 是 不 可 预测 的 《否则 的 话 ， 玩 家 也 许 就 因为 不 能 先 走 而 拒绝 参加 这 个 
游戏 ) 。 


随机 数 “ 信 号 塔 *(randomness beacons) 可 以 解决 这 个 问题 。 正 如 9.4 节 
讨论 的 ， 在 双方 都 加 入 游戏 后 ， 合 约 计算 区 块 链 下 一 个 区 块 的 哈 希 值 。 


对 这 个 特定 的 游戏 应 用 而 言 ， 这 个 问题 比较 容易 解决 ， 因 为 只 要 让 爱丽 
丝 和 鲍 动 双方 确信 决定 谁 先 谁 后 是 随机 的 ， 这 样 就 满足 要 求 ， 而 不 需要 
向 所 有 人 证 明 。 上 所 以 他 们 可 以 采用 9.3 节 的 办 法 : 他 们 两 个 同时 提交 一 
个 随机 数 的 哈 硕 值 ， 并 且 公开 他 们 的 输入 值 ， 然 后 从 双方 的 输入 总 值 算 
出 随机 数 。 实 际 操 作 中 ， 以 上 两 种 方法 都 可 以 使 用 。 


其 他 应 用 


下 横 也 许 很 有 趣 ， 但 是 真正 激动 人 心 的 是 以 太 坊 在 金融 领域 的 应 
用 。 我 们 在 读本 里 讨论 的 大 部 分 应 用 ， 包 括 市 场 预 计 、 智 能 资产 、 托 管 
支付 、 微 支付 渠道 和 混合 服务 ， 都 可 以 在 以 太 坊 体系 里 实现 。 这 些 应 用 
都 有 其 细微 的 区 别 ， 但 是 相对 比特 币 死 板 的 协议 ， 大 多 数 情况 下 ， 这 些 
应 用 都 能 相对 容易 地 在 以 太 坊 体系 内 完成 。 


以 太 坊 的 状态 和 账户 余额 。 第 3 章 中 ， 我 们 讨论 了 账本 的 两 种 方法 : 
基于 账户 和 基于 交易 。 在 一 个 基于 交易 的 账本 中 ， 如 比特 币 ， 区 英 链 只 
存储 交易 《加 上 一 些 少 量 的 转载 标题 的 设置 数据 ) 。 为 了 方便 验证 区 
易 ， 比 特 币 的 币值 是 无 法 分 割 的 ， 即 交易 的 结果 必须 整体 被 消费 ， 可 以 
自己 消费 ， 或 者 如 果 需 要 的 话 ， 换 地 址 消费 。 交 易 实 际 上 是 在 全 球状 态 
表 上 操作 的 ， 这 个 表 称 为 未 花费 交易 输出 列表 ”。 但 是 比特 币 的 协议 并 
没有 明确 规定 这 个 全 球状 态 表 。 全 球状 态 表 的 产生 纯粹 是 矿工 为 了 加 快 
验证 过 程 而 创造 出 来 的 。 


另 一 方面 ， 以 太 坊 则 是 基于 账户 的 模式 。 由 于 以 太 坊 已 经 存储 了 合 
约 地 址 和 状态 的 对 照 表 的 数据 结构 ， 很 自然 地 也 同时 存储 每 个 普通 地 址 
《或 者 叫 拥有 者 的 地 址 ) 的 账户 余额 。 这 意味 着 ， 与 非 闭环 式 的 交易 文 
付 模 式 必须 有 输入 和 输出 不 同 ， 以 太 坊 存储 每 个 地 址 的 账户 余额 ， 这 一 
点 ， 与 银行 存储 每 个 账户 余额 的 方式 类 似 。 


以 太 坊 的 数据 结构 。 在 第 3 章 ， 我 们 提 到 基于 账户 的 账本 需要 精心 
设计 的 数据 结构 来 存储 记录 。 以 太 坊 就 有 这 样 的 数据 结构 。 有 具体 来 说 ， 
每 个 区 块 包含 每 个 地 址 的 目前 状态 (账户 余额 和 交易 数 ) 的 摘要 ， 同 时 
也 包含 每 个 合约 的 状态 (余额 和 存储 空间 )〉 。 每 个 合约 的 存储 树 结构 映 
射 256 比 特 的 地 址 和 256 比 特 的 字 节 。 这 样 可 以 存储 巨 量 的 
(2…86x256=224 ) 信息 。 当然， 这 只 不 过 是 理论 十 的 可 能 空间 ， 我 们 不 
会 用 到 这 么 大 的 存储 空间 。 数 据 结 构 里 面 提 供 的 摘要 ， 使 验证 一 个 地 址 
有 多 少 余 额 或 者 空间 变 得 相对 容易 。 比 如 ， 不 需要 鲍 勃 从 头 到 尾 扫描 整 
个 区 块 链 ， 爱 丽 丝 就 可 以 向 鲍 勃 证 明 她 有 多 少 余 额 。 


此 时 ， 比 特 币 用 简单 的 三 项 梅 元 尔 树 的 结构 可 以 派 得 上 用 场 。 因 为 
它 可 以 把 有 效 的 证 明 数 据 存在 该 区 块 里 (要 求 矿 工 确信 对 于 相同 的 地 
址 ， 每 个 树 状 数据 结构 都 要 求 该 地 址 相同 的 状态 )。 但 是 我 们 也 希望 能 
够 更 快 地 查询 地 址 并 且 能 够 有 效 更 新 地 址 的 数值 。 为 了 达到 这 个 目的 ， 
以 太 坊 使 用 比较 复杂 的 树 状 结构 ， 叫 由 特 里 夏 树 (Patricia tree) 、 前 组 
树 (prefix tree) 、 字 典 树 (trie) 或 基数 树 (radix tree) 。 每 个 以 太 坊 
区 块 包 含 梅 克 尔 - 帕 特 里 夏 树 (Merkle Patricia tree) 的 树 根 ， 它 保存 每 
个 地 址 的 状态 ， 也 包含 合约 地 址 。 每 个 合约 的 状态 ， 包 含 一 个 树 状 数据 
结构 用 来 保存 合约 的 存储 状态 。 


基于 账户 账本 的 另 一 个 不 易 处 理 的 问题 是 防止 重复 攻击 。 在 比特 币 
里 ， 每 个 交易 都 使 用 “未 花费 交易 输出 列表 ”* 输 入， 因此， 任何 相同 签名 
认证 过 的 交易 ， 不 可 能 被 重复 使 用 两 次 。 但 是 在 以 太 坊 设计 里 ， 需 要 确 
保 当 爱丽 丝 签 下 文 付 给 鲍 劲 1 以 太 交 易 的 时 候 ， 鲍 劲 不 能 一 次 又 一 次 地 
对 外 广播 并 重复 使 用 这 个 1 以 太 ， 直 到 把 爱丽 丝 的 账户 用 光 。 这 样 的 交 
易 不 能 重复 ， 因 为 一 旦 使 用 了 ， 爱 丽 丝 的 交易 计数 会 增加 一 次 ， 而 这 个 
交易 计数 是 一 个 全 局 的 状态 参数 。 


总 的 来 说 ， 以 太 坊 使 用 比比 特 币 更 加 强大 的 数据 结构 来 管理 它 的 账 
本 。 昌 然 我们 没有 深入 研究 它 的 数据 结构 ， 但 我 们 知道 ， 这 个 数据 结构 


使 得 账户 、 合 约 ， 以 及 交易 相关 声明 的 有 效 验证 变 成 可 能 。 


以 太 坊 项 目 


以 太 坊 最 早 于 2013 年 年 末 开 始 讨论 ， 并 于 2015 年 第 一 次 发 布 ， 代 号 
先行 者 (Frontier) 。 以 太 坊 采用 预 售 的 方式 ， 以 固定 比特 币 价 格 公开 
出 售 ， 并 把 所 有 的 预 售 款 投入 以 太 坊 基金 会 。 


和 其 他 另类 币 相 比 ， 以 太 坊 发 展 比较 缓慢 ， 这 也 反映 了 以 太 币 是 一 
个 比较 复杂 的 系统 。 与 比特 币 相 比 ， 以 太 坊 增加 以 太 坊 专用 虚拟 机 
(EVM) ， 一 个 全 新 编程 模式 ， 一 个 全 新 的 数据 结构 。 此 外 ， 以 太 坊 
还 对 比特 币 的 共识 模式 做 了 大 的 修改 。 每 个 区 块 产生 的 时 间 不 是 10 分 
钟 ， 而 是 12 秒 。 在 以 太 坊 体系 里 ， 过 时 区 块 的 比例 高 于 比特 币 体 系 ， 为 
了 减少 过 时 的 区 块 对 系统 的 影响 ， 以 太 坊 采 用 另 一 个 叫 “ 精 
灵 ”(GHOST) 的 协议 来 计算 共识 分 支 。 同 时 ， 以 太 坊 采用 不 同 的 工作 
量 证 明 。 目 前 采用 的 是 一 个 混合 的 哈 希 方程 ， 被 设计 成 只 能 用 记忆 体 计 
算 。 未 来 以 太 坊 计划 转 为 通过 权益 证 明 份 额 证 明 的 体系 。 


以 太 坊 呈现 出 和 比特 币 在 设计 理念 上 的 巨大 差异 。 以 太 坊 项 目 由 非 
营利 机 构 主导 并 且 在 规划 和 决策 上 相对 比较 集中 ， 它 们 根据 历史 经 验 对 
以 太 坊 协议 进行 修改 ， 并 且 痢 有 一 个 公开 的 时 间 表 。 控 规划 ， 将 来 也 会 
有 和 硬 分 又 。 而 且 ， 所 有 以 太 坊 合约 都 要 在 版 本 更 新 前 销毁 。 所 以 ， 以 太 
坊 还 是 一 个 未 来 会 有 很 多 变更 的 实验 性 体系 。 截 至 2015 年 ， 投 入 大 量 精 
力 在 以 太 坊 上 并 构建 真正 有 用 的 应 用 ， 现 在 看 来 是 有 点 太 早 。 但 是 以 太 
坊 无 疑 是 一 个 非常 有 潜力 的 系统 。 也 许 这 本 书 未 来 的 版 本 将 会 命名 
为 “以 太 坊 和 加 密 货 币 技 术 ”。 


本 章 主 要 讨论 了 比特 币 如 何 成 为 其 他 加 黎 货 币 和 另类 币 的 重要 组 成 
部 分 。 它 们 在 各 方面 相互 竞争 、 合 作 并 且 相 互 影响 ， 有 些 相 辅 相 成 ， 有 


些 是 相互 阻碍 。 在 未 来 ， 可 能 会 出 现 新 的 技术 ， 使 得 在 一 种 区 块 链 可 以 
直接 引用 男 一 个 区 块 链 的 交易 。 


但 截至 目前 ， 有 些 问题 仍然 最 而 未 决 。 男 类 币 会 演变 并 相互 合并 ， 
最 后 成 为 少数 男 类 币 主 军 的 生态 系统 吗 ? 还 是 和 现在 一 样 多 样 化 ? 特定 
功能 的 男 类 币 会 医 动 友 展 ， 还 是 以 以 太 坊 为 标志 的 通用 编程 平台 最 后 成 
为 主流 ? 比特 币 和 为 类 币 之 间 的 相互 影响 是 有 荔 的 吗 ? 每 个 妨 类 币 之 间 
应 该 相互 独立 ， 比 如 用 不 同 的 挖 矿 迹 题 而 不 是 去 共同 挖 矿 ? 我 们 现在 无 
法 回答 上 述 这 些 问题 ， 但 我 们 已 经 讨论 了 所 有 这 些 你 需要 理解 和 评估 的 
重要 概念 。 


延展 阅读 


侧 链 白皮书 : 


Back,Adam,Matt Corallo,Luke Dashjr,Mark Friedenbach,Gregory 
Maxwell,Andrew Miller, Andrew Poelstra,Jorge Timon,and Pieter 
Wuille.“Enabling Blockchain Innovations with Pegged Sidechains.”2014. 


您 可 以 通过 如 下 网 址 阅读 : 
https://blockstream.com/sidechains.pdf. 
关于 域名 币 和 使 用 其 他 用 加 密 币 设计 域名 /价值 储存 方法 的 论文 : 


Kalodner, Harry, Miles Carlsten,Paul Ellenbogen,Joseph Bonneau,and 
Arvind Narayanan.“An Empirical Study of Namecoin and Lessonsf or 
Decentralized Namespace Design. Presented at the Workshop on the 
Economics of Information Security,2015. 


您 可 以 通过 如 下 网 址 阅读 : 


http://randomwalker.info/publications/namespaces.pdf. 
以 太 坊 日 皮 书 : 


Various authors.“A Next-Generation Smart Contract and Decentralized 
Application Platform.” 


您 可 以 通过 以 下 网 址 阅读 : 
http://github.com/ethereum/wiki/wiki/white-paper. 
分 析 以 太 坊 激励 机 制 错 配 的 学 术 论 文 : 


Luu,Loi,Jason Teutsch,Raghav Kulkarni,and Prateek 
Saxena.“Demystifying Incentives in the Consensus Computer.” Proceeding 
of the 22nd ACM SIGSAC Conference on Computer and Communications 
Security ,New York:ACM, 2015. 


第 11 章 
去 中 心 化 机 构 : 比特 币 的 未 来 ? 


这 本 书写 到 这 里 ， 我 们 已 经 研究 了 比特 币 和 区 块 链 技术 截至 2015 年 
的 最 新 状态 。 本 章 将 讨论 的 是 ， 比 特 币 在 未 来 会 怎么 样 。 我 们 恪守 和 驴 
言 “ 绝 不 预言 ， 特 别 是 预言 未 来 ”， 所 以 我 们 不 会 声称 知道 比特 币 未 来 会 
怎么 样 。 因 而 我 们 在 本 章 标 题 使 用 了 问号 。 


但 是 我 们 继续 本 书 中 一 直 坚 持 的 学 术 探 讨 风 格 ， 用 以 研究 未 来 的 科 
技 。 比 特 币 的 未 来 充满 了 热情 和 叹为观止 的 未 来 科技 章 命 的 前 景 。 本 章 
可 以 写成 一 个 宣言 ， 但 我 们 不 准备 这 么 做 。 我 们 找 出 知名 的 方案 ， 用 鹿 
慎 冷 静 的 方法 对 它们 分 类 ， 并 批判 地 分 析 它 们 的 相对 优势 和 劣势 。 


比特 币 是 一 个 内 容 丰 富 的 课题 ， 它 包含 了 协议 本 身 及 其 成 为 新 应 用 
平台 的 潜在 可 能 性 。 本 章 的 重点 不 在 于 比特 币 协议 的 未 来 。 虽 然 我 们 意 
识 到 有 很 多 影响 比特 币 未 来 且 值 得 研究 的 方面 ， 比 如 ， 比 特 币 的 管理 、 
效率 、 扩 展 性 和 功能 集合 。 


我 们 会 着 重 讨论 比特 币 如 何 成 功 地 成 为 去 中 心 化 的 货币 ， 它 的 成 功 
经 验 能 促使 我 们 重新 思考 其 他 中 心 化 的 机 构 一 一 比如 从 事 股票 、 债 券 、 
资产 产权 和 其 他 业务 的 机 构 。 我 们 不 茶会 问 ， 区 块 链 是 否 能 够 用 来 对 它 
们 去 中 心 化 。 我 们 不 仅仅 要 考虑 技术 上 去 中 心 化 的 可 能 性 ， 还 要 考虑 ， 
它 是 否 合乎 金融 规律 并 对 社会 有 利 ? 


11.1 区 块 链 作为 去 中 心 化 的 工具 


在 比特 币 之 前 ， 有 很 多 数字 电子 货币 失败 的 尝试 (本 书 的 前 言 中 提 
到 了 许多 失败 的 案例 ) 。 比 特 币 与 大 多 数 失 败 的 尝试 之 间 ， 最 重要 的 区 
别 在 于 去 中 心 化 。 比 特 币 去 中 心 化 的 核心 创新 方法 是 使 用 区 块 链 。 


在 这 一 节 ， 我 们 会 研究 区 块 链 技术 如 何在 货币 体系 以 外 的 领域 里 实 
现 去 中 心 化 。 本 章 我 们 会 一 直 重 复 使 用 汽车 的 案例 ， 这 辆 车 的 所 有 权 是 
通过 区 块 链 来 控制 的 。 这 个 案例 是 我 们 在 第 9 章 中 介绍 的 智能 合约 的 概 
念 里 的 具体 体现 。 早 在 1990 年 年 初 ， 尼 克 : 陕 博 (Nick Szabo) 和 其 他 几 
位 创新 性 提出 智能 资产 和 管理 智能 资产 的 数字 化 合约 ， 远 远 早 于 比特 
币 。 随 着 区 块 链 的 出 现 ， 这 个 想法 变 得 越 来 越 现实 和 具体 。 


令 人 或 舞 的 案例 


当代 的 汽车 使 用 两 种 主要 的 加 锁 机 制 (locking mechanisms) : 门 上 
的 物理 锁 和 通过 电子 锁 住 引擎 不 让 发 动 的 制动器 。 用 户 用 遥控 钥匙 可 以 
与 汽车 无 线 通 信 ， 根 据 喀 控 器 与 车 的 距离 或 者 用 户 按 下 按钮 的 特定 动 
作 ， 来 解锁 车 门 和 发 动 引 擎 。 


为 了 防止 假冒 钥 古 入侵， 车 钥匙 的 解锁 机 制 需 要 加 密 。 虽 然 安 全 专 
家 发 现 很 多 最 近 使 用 的 加 锁 机 制 存 在 很 多 问题 ， 但 是 他 们 是 有 可 能 处 理 
好 这 些 问 题 的。 一 般 来 说 ， 这 些 算 法 会 使 用 对 称 钥 匙 加 密 技术 。 在 我 们 
这 个 采 例 中 ， 用 的 是 基于 非 对 称 加 密 拉 术 的 类 似 椭圆 曲线 数字 签名 算法 
的 数字 签名 技术 。 


在 这 个 例子 里 ， 汽 车 储存 了 一 份 遥 控 需 的 公开 密 钥 ， 用 于 打开 车 门 
和 发 动 引 擎 。 当 遥控 器 请 求 开 门 的 时 候 ， 汽 车 发 送 回 随机 数 并 要 求 遥 控 
器 用 它 储存 的 密 钥 签名 。 只 有 遥控 器 准确 回复 签名 ， 和 车门 才 会 被 打开 。 
到 目前 为 止 ， 这 个 原理 和 实际 中 的 防盗 机 制 没 有 什么 大 的 区 别 。 唯 一 的 
区 别 是 ， 我 们 使 用 了 很 深 的 加 密 技 术 ， 安 装 起 来 比较 昂贵 。 


实现 智能 


这 次 设计 的 智能 汽车 ， 是 假设 用 来 验证 遥控 器 的 公开 密 钥 并 不 是 舍 
汽车 制造 商 永久 地 记录 在 汽车 里 ， 而 是 ， 智 能 汽车 技术 上 可 以 不 间断 
地 ， 无 线 接收 例如 比特 币 一 样 的 区 块 链 上 的 新 区 块 。 当 汽车 在 组 装 厂 组 
装 的 时 候 ， 遥 控 器 里 第 一 个 用 户 〈 比 如 组 装 厂 的 经 理 ) 的 公开 密 钥 通过 
特殊 操作 加 入 区 块 链 。 同 时 ， 这 辆 智能 汽车 也 把 该 特殊 操作 的 ID 写 入 它 
自 带 的 程序 。 


核心 的 思想 是 ， 汽 车 更 改 所 有 权 的 时 候 _ “从 装配 车 厂 到 质量 监控 
室 到 运输 入 员 到 汽车 经 销 商 到 第 一 个 所 有 者 一 一 也 同时 更 新 到 区 块 链 ， 
区 块 链 同时 授权 每 一 步 的 转换 。 值 得 注意 的 是 ， 在 这 个 模式 下 ， 授 权 用 
的 遥控 器 没有 跟着 车 走 。 每 个 人 或 者 公司 都 有 一 个 预先 存在 的 遥控 器 
(或 者 带 着 某 种 有 遥控 器 功能 的 仪器 ) 。 这 个 遥控 器 里 面 有 一 个 唯一 的 
签名 密 钥 。 根 据 区 块 链 的 交易 ， 签 名 密 钥 被 激活 或 者 被 取消 拥有 这 辆 车 
的 权利 。 这 样 的 交易 以 车 最 新 的 交易 ID 为 输入 ， 同 时 设 定 一 个 新 的 公共 
密 钥 为 输出 ID。 汽 车 目前 的 拥有 者 需要 用 私人 密 钥 在 这 个 输出 ID 上 签 
名 。 


这 种 设计 和 我 们 在 第 9 章 讨论 的 智能 资产 相似 ， 除 了 一 个 重大 的 区 
别 : 区 块 链 的 交易 不 仅仅 表示 汽车 所 有 权 的 变更 ， 它 还 代表 真正 的 汽车 
物理 拥有 权 的 转移 。 当 汽车 通过 区 块 链 转 移 的 时 候 ， 前 车 主 的 遥控 器 无 
法 工作 ， 新 车 主 的 遥控 器 获得 开门 和 启动 引擎 的 权利 。 让 所 有 权 等 同 于 


使 用 权 的 技术 有 着 深远 的 影响 ， 这 将 促使 如 有 力 的 去 中 心 化 。 但 是 去 中 
心 化 是 否 有 用 ， 这 并 不 容易 看 清楚 。 我 们 将 在 11.4 节 回 过 头 来 讨论 这 个 


问题 。 


安全 的 交易 


假设 爱丽 丝 拥有 一 辆 智能 汽车 想 卖 给 鲍 势 ， 能 够 数字 化 地 转移 汽车 
控制 权 会 引起 几 个 有 趣 的 可 能 性 。 比 如 ， 爱 丽 丝 也 许 正在 国外 旅行 正 需 
要 钱 来 支付 旅费 ， 所 以 要 卖 掉 停 在 她 家 后 院 车 库 的 汽车 。 只 要 联 上 互联 
网 ， 鲍 勃 就 可 以 用 比特 币 支付 给 爱丽 丝 车 钱 ， 爱 丽 丝 可 以 远程 通过 区 块 
链 把 车 的 所 有 权 转 移 给 鲍 勃 ， 鲍 勃 就 可 以 开 走 这 辆 车 。 


然而 ， 这 样 的 交易 存在 一 定 的 风险 。 如 果 鲍 动 先 文 付 ， 爱 丽 丝 也 许 
收 了 钱 而 不 转移 车 的 所 有 权 。 如 果 爱 丽 丝 先 转移 车 的 所 有 权 ， 鲍 劲 也 许 
不 付 钱 残 把 车 开 走 了 。 即 使 假设 爱丽 丝 在 现场 ， 也 有 可 能 为 一 方 突然 改 
变 主意 而 撤销 交易 。 这 时 候 让 不 在 场 的 第 三 方 来 调解 争议 也 很 困难 。 


我 们 之 前 多 次 碰 到 这 种 问题 ， 包 括 在 合 币 (第 6 章 ) 和 域名 币 (第 
10 章 ) 中 。 解 决 这 类 问题 要 使 用 同样 的 原则 。 只 要 文 付 的 货币 和 汽车 的 
拥有 权 同 时 存在 相同 的 区 块 链 ， 爱 丽 丝 和 鲍 动 就 可 以 产生 一 个 不 可 分 割 
的 交易 。 这 个 交易 同时 转移 汽车 的 所 有 权 和 车 蒜 。 具 体 地 说 ， 这 个 交易 
规定 两 个 输入 : 爱丽 丝 的 所 有 权 和 鲍 勃 的 文 付款 ;规定 两 个 输出 : 归 鲍 
动 的 所 有 权 和 归 爱 丽 丝 的 支付 蒜 。 这 个 交易 需要 双方 提供 输入 要 系 ， 因 
此 要 求 双方 都 要 签名 。 如 果 只 有 一 方 签名 ， 交 易 就 无 效 。 一 旦 一 方 答 
名 ， 交 易 的 细 市 就 无 法 改变 ， 除 非 这 个 签名 无 效 。 签 过 名 的 交易 一 旦 对 
整个 区 块 链 广播 ， 鲍 肠 只 要 等 预 设 的 几 次 确认 (一 般 是 6 次 )， 就 可 以 拥有 
这 辆 车 。 鲍 动 文 付 给 爱丽 丝 的 球 项 也 同时 被 确认 。 两 个 确认 是 相 辅 相 
成 ， 缺 一 不 可 的 。 


细心 的 读者 也 许 注意 到 了 一 个 微妙 的 问题 。 鲍 动 可 以 收 到 爱丽 丝 签 
名 的 交易 ， 自 己 也 签名 ， 但 是 不 立即 对 外 广播 。 等 到 爱丽 丝 卖 东 西 的 价 
格 变 了 ， 鲍 动 才 把 旧 交 易 用 原来 的 价格 对 外 广播 。 所 以 为 了 避免 这 种 问 
题 ， 比 较 复杂 的 不 可 分 割 的 交易 里 包括 截止 时 间 。 过 了 截止 时 间 后 ， 爱 
丽 丝 可 以 发 送 输入 她 控制 下 的 新 地 址 ， 用 来 表示 撤回 她 发 给 鲍 勃 的 已 经 
签 过 名 的 交易 。 


这 是 本 草案 例 之 一 。 我 们 将 会 在 本 章 看 到 ， 很 多 其 他 案例 使 用 区 块 
链 技术 促使 现实 中 的 各 种 交易 程序 去 中 心 化 ， 从 而 达到 不 同 种 类 的 去 中 
心 化 状态 。 其 中 ， 不 可 分 割 性 〈atomicity) 是 绝 大 多 数 案 例 共 有 的 特 
性 。 也 束 是 说 ， 交 易 每 一 方 的 交割 都 是 联系 在 一 起 的 ， 所 以 它们 都 同时 
发 生 或 者 都 不 发 生 。 不 可 分 割 性 是 区 块 链 以 外 应 用 程序 领域 里 重要 的 安 
全 概念 。 


11.2 通 往 区 块 链 融合 之 路 


因为 比特 币 的 区 块 链 是 专用 在 贷 币 上 的 ， 把 它 改 造 为 用 于 表示 其 他 
应 用 是 很 有 挑战 性 的 。 在 比特 币 世 界 里 ， 你 会 发 现 有 许多 人 偏爱 把 比特 
币 或 者 别 的 区 块 链 作为 去 中 心 化 的 平台 。 在 本 节 ， 我 们 来 分 析 两 种 方 
法 


方法 1: 直接 在 比特 币 基 础 上 


区 块 链 融合 自然 而 然 的 出 发 点 是 比特 币 。 这 也 是 我 们 在 前 面 11.1 节 
智能 汽车 例子 里 用 的 办 法 。 和 直接 使 用 比特 币 的 好 处 就 是 容易 实现 一 一 代 
码 容 易 运 行 ， 比 特 币 网 络 有 很 强 的 挖 矿 能 力 ， 共 识 过 程 没 有 瑕 辛 。 然 
而 ， 我 们 必须 在 比特 币 上 做 些 修改 才能 用 于 我 们 的 例子 。 比 如 ， 用 于 授 
权 比 特 币 交易 的 加 密 要 等 同 于 用 于 打开 车 门 的 加 密 。 有 时 候 对 比特 币 的 
修改 是 不 可 能 的 ， 而 且 从 根本 上 说 ， 如 果 你 有 非常 复杂 的 涉及 不 同方 的 
合约 ， 用 比特 币 的 区 块 链 不 一 定 能 足够 胜任 或 者 不 可 分 割地 执行 。 为 了 
展示 用 比特 币 区 块 链 的 危险 性 ， 我 们 研究 一 下 如 何 构 建 一 些 中 性 的 非 中 
介 化 的 应 用 程序 。 


首先 ， 我 们 来 研究 众 筹 服务 。 在 2015 年 ， 最 广泛 使 用 的 众 筹 网 站 是 
Kickstarter， 它 通过 一 个 中 心 化 的 网 站 ， 连 接 了 创业 者 和 资金 提供 方 。 我 
们 欣赏 Kickstarter 的 想法 ， 但 希望 通过 建造 一 个 完全 去 中 心 化 的 蔡 代 系 
统 。 这 个 系统 需要 让 创业 者 能 要 求 投 资 人 捐 球 ,但 是 在 收 到 一 定 预 先 设 
定数 额 之 前 ， 创 业者 不 能 花 掉 任 何 一 分 钱 。 所 有 的 这 些 都 是 没有 中 介 
的 。 


用 比特 币 的 技术 实现 这 样 的 众 筹 服务 ， 需 要 创业 者 创建 一 个 特定 输 
入 的 交易 “输入 数 可 以 随 着 进程 而 改变 ) 和 一 个 支付 给 自己 的 输出 ， 比 
如 支付 1 000 个 比特 币 (BTC〉。 这 个 交易 将 在 潜在 的 资助 者 中 流传 。 任 
何 资 助 者 都 可 以 把 资助 额 加 在 交易 的 输入 上 ， 并 且 数 字 化 签名 他 们 的 输 
入 和 总 输出 。 只 有 到 所 有 输入 等 于 或 者 大 于 输出 的 时 候 ， 创 业者 才能 
得 这 笔 交 易 的 所 有 输入 〔 见 图 11.1) 。 因 为 签名 形式 有 限 ， 我 们 要 用 到 
比特 币 一 些 鲜 为 人 知 的 功能 ， 才 能 花 掉 最 后 的 交易 额 。 虽 然 这 在 当今 的 
比特 币 系 统 能 做 到 ， 但 是 我 们 必须 钻研 到 比特 币 里 很 少 人 知道 的 角落 。 
这 并 不 是 一 个 日 第 见 到 的 标准 比特 币 交 易 。 


图 11.1 通过 比特 币 众 筹 
注 : 由 不 同 资助 者 发 起 的 多 输入 的 单 笔 交 易 。 每 个 资助 者 签 下 他 们 的 输入 和 输出 。 
只 有 在 累积 输入 数额 达到 或 者 超过 输出 ， 该 交易 才 有 效 。 


另 一 个 案例 : 支付 证 明 费 用 (paying for a proof) 。 这 个 案例 初 看 
起 来 好 像 奇 怪 ， 但 是 它 有 很 重要 的 应 用 。 为 了 表示 清楚 ， 我 们 假设 有 个 
哈 希 函数 了 和 一 个 大 家 都 知道 的 数字 y， y 是 HH 输入 x 后 产生 的 和 输出。 爱丽 
丝 知道 这 个 x 的 数值 ， 鲍 勃 为 了 知道 这 个 x 值 ， 愿 意 文 付 给 爱丽 丝 。 广 义 


上 讲 ，H 可 以 是 任何 计算 程序 ， 鲍 勃 硕 望 知道 他 感 兴趣 的 能 够 产生 特定 
结果 的 输入 值 。 这 个 问题 的 进一步 演变 是 ， 鲍 动 也 许愿 意 文 付 一 定 的 费 
用 ， 让 这 个 输入 值 公开 在 区 块 链 上 。 


为 了 安全 地 实现 这 笔 交 易 ， 我 们 必须 确认 交易 的 不 可 分 割 性 。 爱 丽 
丝 只 有 提交 正确 的 输入 才能 收 到 钱 。 而 鲍 勃 一 收 到 输入 必须 承担 支付 责 
任 。 记 得 我 们 在 第 10 章 的 不 可 分 割 的 区 叉 链 互 换 协 议 中 ， 展 示 了 如 何 绑 
定 文 付 和 呈现 哈 而 函数 输入 值 。 类 似 的 方法 可 以 用 在 这 里 。 


这 些 例子 显示 了 直接 使 用 比特 币 区 块 链 的 重要 局 限 性 。 在 每 个 例子 
中 ， 我 们 必须 把 复杂 的 真实 世界 交易 编译 成 比特 币 的 概念 。 这 不 一 定 总 
能 实现 。 在 智能 汽车 的 例子 里 ， 我 们 假设 该 车 用 ECDSA 签 名 技术 来 验 
证 汽车 的 主人 。 这 残 允 许 我 们 使 用 区 块 链 和 匠 控 占 相 同 的 公 / 私 密 钥 来 
开锁 并 发 动 汽车 。 在 众 筹 例子 中 ， 创 业者 只 能 拿 到 他 们 要 求 的 数额 ， 不 
能 多 也 不 能 少 。 如 果 资 助 的 金额 大 于 需求 的 ， 多 出 的 部 分 就 成 为 交易 缚 
用 。 最 后 ， 在 文 付 证 明 费 用 的 例子 里 ， 如 果 函 数 H 不 是 比特 币 语言 所 文 
持 的 哈 希 函数 ， 那 么 连接 文 付 和 公开 数字 这 种 模式 就 很 困难 。 


如 采 你 不 能 ， 或 者 不 想 把 应 用 程序 强行 套 入 比特 币 的 交易 体系 ， 那 
么 可 以 选择 使 用 附着 币 ， 我 们 在 第 9 章 讨论 过 附着 币 。 这 样 比 特 币 就 成 
为 数据 存储 ， 因 此 比特 币 的 脚本 语言 如 何 表 达 束 与 之 无 关 。 这 种 用 附 看 
币 的 方式 ， 不 仅 可 以 构建 很 多 其 他 应 用 ， 还 可 以 使 应 用 透明 化 。 重 新 回 
到 卖 车 的 例子 ， 如 果 区 块 链 中 对 象 的 颜色 是 公开 的 “比如 以 有 颜色 的 人 
币 来 表示 ) ， 任 何人 都 可 以 通过 检查 区 块 链 得 知 汽车 在 何 时 购买 ， 以 什 
么 价格 ， 而 不 用 知道 买卖 双方 的 真实 喘 份 。 这 种 方式 在 茶 种 情况 下 很 有 
用 。 在 对 它 不 利 的 时 候 ， 颜 色 的 对 象 可 以 不 对 外 公开 。 


然而 ， 这 种 附着 币 有 重大 缺陷 。 附 着 币 的 用 户 无 法 依靠 比特 币 的 夏 
工 来 验证 交易 《因为 矿工 无 法 了 解 附 着 币 的 交易 语言 含义 ) 。 这 意味 着 
所 有 附着 币 的 用 户 必 须 以 全 网 节点 的 方式 运行 。SPV 也 不 可 能 。 只 要 在 
构建 的 时 候 存 在 使 得 共识 无 法 达成 的 漏洞 ， 附 着 币 就 会 变 得 很 不 稳定 。 


如 果 两 个 附着 币 对 一 个 交易 的 有 效 性 持 不 同意 见 ， 会 导致 这 个 货币 形成 
两 个 分 又 货币 。 这 会 导致 灾难 性 的 后 果 。 相 反 ， 如 果 由 矿工 来 验证 区 
易 ， 这 种 不 同意 见 的 情况 就 会 很 少 有 发生。 如 果 这 种 情况 真 的 有 发生 了 ， 那 
么 它 很 快 就 会 引起 注意 并 且 很 可 能 解决 ， 而 不 会 导致 货币 分 又。 


从 另 一 方面 考虑 ， 无 论 我 们 是 否 用 附着 币 ， 用 比特 币 的 初始 范畴 外 
的 交易 会 加 重 或 者 "污染 "比特 币 的 区 块 钾 。 在 比特 币 世界 ， 这 个 问题 双 
方 争执 不 下 。 我 们 不 选 边 站 ， 但 是 我 们 要 指出 有 一 个 解决 的 办 法 :就 像 
我 们 在 9.1 节 看 到 的 ， 仅 仅 把 比特 币 当成 时 间 截 服务 ， 而 不 是 当成 数据 
存储 。 目 前 有 刚刚 起 步 的 服务 ， 提 供 另外 的 区 块 链 或 者 数据 存储 服务 。 
其 中 有 一 个 服务 是 通过 比特 币 区 块 链 做 时 间 规 服务 。 这 就 像 第 9 章 讨论 
过 的 时 间 惟 服务 ， 但 是 多 了 每 10 分 钟 一 次 哈 希 计算 ， 而 不 是 每 周一 次 在 
新 闻 报纸 上 。 用 比特 币 当 时 间 截 只 要 每 区 块 (或 者 每 次 服务 或 者 协议 ) 
一 次 交易 。 不 完美 的 地 方 就 是 ， 很 难 找到 像 比 特 币 区 块 链 这 样 容易 获得 
并 且 广泛 复制 留存 的 外 部 数据 存储 。 同 时 ， 一 般 的 非 比特 币 数据 存储 更 
加 中 心 化 。 


忆 的 来 说 ， 不 管 是 否 使 用 构 套 技术 ， 比 特 币 的 区 块 链 诞生 了 许多 创 
新 的 应 用 。 这 些 通过 比特 币 区 块 链 产生 的 应 用 ， 受 到 用 户 和 矿工 的 广泛 
接受 。 因 此 ， 使 用 比特 币 区 块 链 是 一 个 安全 且 容 易 实 现 的 选择 。 


方法 2: 用 类 区 块 链 


去 中 心 化 的 力 一 个 方法 是 使 用 男 类 区 块 链 ， 也 有 几 个 选择 方案。 最 
明显 的 方法 就 是 ， 使 用 一 个 全 新 的 区 块 链 ， 有 上 自己 的 规则 、 功 能 和 货 
《也 惑 是 另类 币 ) 。 另 一 个 方案 是 ， 使 用 我 们 在 第 10 章 学 过 的 侧 链 。 这 
个 方案 的 主要 不 同 在 于 侧 链 的 货币 是 1 : 1 的 比例 方式 与 比特 币 挂钩 。 有 
高 级 脚本 语言 的 侧 链 可 以 满足 复杂 合约 的 要 求 ， 也 能 做 到 去 中 介 化 。 但 
是 ， 侧 链 需要 对 比特 币 进行 修改 ， 这 些 修 改 目前 到 2015 年 还 没有 进展 。 


第 三 个 选择 是 用 已 经 存在 的 另类 区 块 链 ， 这 个 区 块 链 能 够 文 持 新 的 
应 用 程序 。 截 至 2015 年 ， 我 们 在 第 10 章 讨论 过 的 以 太 坊 体系 ， 是 最 有 淤 
力 的 去 中 心 化 加 密 货 币 应 用 程序 平台 。 从 概念 上 看 ， 以 太 坊 是 去 中 心 化 
的 复杂 合约 的 理想 平台 。 当 然 ， 以 太 坊 也 面临 实际 的 挑战 : 至 少 到 2015 
年 ， 和 它 还 没有 达到 比特 币 同等 水 平 的 成 熟 度 、 接 有 党 度 和 挖 矿 计 算 力 ， 也 
没有 接受 相应 水 平 的 安全 性 考验 。 无 论 如 何 ， 这 是 一 个 令 人 着迷 的 去 中 
心 化 复杂 合约 的 精美 实验 。 未 来 ， 以 太 坊 体系 或 者 其 他 体系 有 可 能 秆 支 
发 展 。 


11.3 去 中 心 化 的 模板 


我 们 研究 了 几 种 通过 区 块 链 达 到 去 中 心 化 的 方式 。 接 下 来 ， 我 们 将 
会 建立 一 套 去 中 心 化 应 该 考虑 的 问题 的 模板 ， 问 题 包 括 去 中 心 化 的 对 
象 、 用 什么 区 块 链 合适 、 实 体 和 安全 性 在 去 中 心 化 下 的 重新 定义 。 


去 中 心 化 的 程度 


通过 去 中 介 而 去 中 心 化 


再 回想 一 下 我 们 前 文 提 到 的 智能 汽车 ， 为 了 帮助 理解 ， 我 们 问 一 个 
问题 ， 数 字 拥 有 权 的 转移 到 后 丛 代 了 现实 生活 中 的 什么 步骤 ? 


美国 汽车 的 产权 ， 是 由 拥有 产权 证 书 来 确定 的 。 这 是 产权 的 中 心 化 
形式 。 产 权证 书 只 有 机 动车 管理 部 门 (Department of Motor Vehicles， 
简称 DMV) 能 识别 和 实际 使 用 。 当 出 售 汽车 的 时 候 ， 卖 方 交接 产权 证 
书 给 买方 ， 仪 仪 这 样 做 是 不 够 的 。 这 样 的 产权 转移 ， 必 须 在 DMV 注 
册 ，DMV 在 其 中 央 数 据 库 进行 更 新 。 通 过 区 块 链 来 转移 产权 ， 我 们 从 
国家 掌控 的 集中 程序 转变 成 不 需要 任何 中 介 。 这 就 是 通过 去 中 介 来 实现 
去 中 心 化 。 


争议 的 调解 : 通过 苋 争 去 中 心 化 

假设 买卖 双方 对 汽车 交易 有 争议 。 也 许 卖 家 出 售 了 一 辆 以 次 充 好 的 
汽车 ， 买 家 很 生气 要 退货 。 在 第 3 章 ， 我 们 讨论 过 3 选 2 的 多 方 签名 交 
易 。 如 果 除 了 买卖 双方 以 外 还 有 第 三 方 比如 法 官 或 者 调停 者 ， 这 个 交易 


就 可 以 文 持 托管 。 这 种 情况 下 ， 买 方 不 需要 直接 把 钱 转 给 卖方 ， 而 是 转 
到 一 个 由 买卖 双方 和 调停 者 组 成 的 3 选 2 控制 的 地 址 。 调 停 者 在 另外 一 方 
的 帮助 下 可 以 批准 支付 或 者 退 球 ,但 是 不 能 偷 走 这 笔 钱 。 


这 是 一 个 很 好 的 争 剖 解 决 机 制 的 开端 ， 但 仍 有 很 多 细 市 需要 考虑 。 
首先 ， 我 们 背 失 了 以 前 依赖 的 汽车 交易 的 不 可 分 割 性 。 其 次 ， 我 们 不 清 
楚 汽 车 的 拥有 权 古 否 可 以 随 着 退 蒜 而 恢复 原来 的 状态 。 最 后 ， 如 果 汽 车 
的 所 有 权 转 到 3 选 2 的 地 址 ， 那 么 遥控 钥匙 要 给 谁 开车 的 权利 ? 我 们 讨论 
这 些 的 目的 不 是 找 出 解决 这 些 问 题 的 办 法 ， 而 是 用 这 个 例子 来 仔细 思考 
调停 者 的 作用 。 具 体 而 言 ， 我 们 要 比较 这 种 调停 模式 和 传统 调停 模式 的 
区 别 。 


现实 世界 里 的 调停 争议 如 何 发 生 ? 这 需要 借助 司法 体系 ， 一 个 中 心 
化 的 、 国 家 控制 的 ， 最 好 需要 聘请 律师 的 调停 系统 。 相 反 ， 在 数字 合约 
下 ， 参 与 者 自由 选择 他 们 想 要 的 调停 者 。 一 个 调停 的 私人 市 场 将 会 莲 动 
发 展 。 在 这 个 市 场 里 ， 不 需要 按 现 有 的 法 律 规 定 ， 各 种 潜在 的 中 介 可 以 
根据 公平 、 效 率 和 成 本 相互 竞争 。 这 中 间 有 几 个 挑战 性 的 问题 : 第 一 个 
征 激励 机 制 ， 调 停 者 也 许 会 被 交易 的 一 方 贿赂 ; 第 二 个 是 资金 在 有 争议 
期 间 是 被 锁 住 的 ， 第 三 ， 当 内 部 调停 机 制 失 效 后 ， 因 为 交易 双方 都 是 匿 
名 的 ， 所 以 很 难 最 后 上 法 庭 解决 ， 即 使 双方 可 以 被 识别 ， 数 字 合 约 当前 
也 不 被 法 性 认可 。 


我 们 的 观点 是 ， 这 不 是 通过 去 中 介 而 产生 去 中 心 化 一 一 我 们 没有 完 
全 摆脱 中 介 ， 而 是 让 参与 者 选择 他 们 信任 的 人 。 也 就 是 说 ， 通 过 竞争 去 
中 心 化 。 在 介 于 单一 规定 的 中 介 和 完全 不 需要 中 介 的 完全 去 中 介 之 间 ， 
还 有 很 大 的 空间 和 可 能 。 就 像 我 们 看 到 的 ， 在 这 两 种 极端 之 间 ， 可 以 存 
在 一 种 情况 ， 即 有 很 多 中 介 相 互 充 和 争 。 事 实 上， 我 们 在 第 9 章 讨论 去 中 
心 化 的 未 来 预测 市 场 也 是 这 种 情况 。 不 像 InTrade 三 一 个 公司 占领 整个 
市 场 ， 参 与 者 可 以 从 竞争 的 仲裁 人 中 任意 选择 他 们 相信 的 人 来 进行 关键 
的 市 场 操 作 。 


能 达到 什么 样 的 安全 程度 


我 们 从 这 个 案例 观察 到 另外 一 个 问题 。 诊 断 解决 过 程 的 安全 性 不 需 
要 依靠 不 可 分 割 性 。 相 反 ， 它 依靠 对 调停 者 的 信任 。 调 停 者 如 何 变 得 可 
信 ? 有 很 多 种 办 法 ， 最 直接 的 就 是 通过 信誉 。 与 不 可 分 审 性 通过 技术 维 


持 安 全 性 不 同 ， 信 誉 是 建立 在 长 时 间 的 社会 内 部 机 制 相互 作用 的 基础 上 
的 。 


(= 


有 人 在 比特 币 世 界 里 把 “信任 最 小 化 ”或 者 “没有 信任 ”作为 目标 。 
这 听 起 来 像 是 退步 。 难 道 我 们 不 是 希望 建立 一 个 值得 信任 的 可 以 运作 
的 体系 ? 

信任 这 个 词 有 不 同 的 解释 ， 因 而 会 引起 不 同 的 误解 。 当 爱丽 丝 借 
给 鲍 勃 10 美 元 并 说 信任 他 ， 爱 丽 丝 的 意思 是 她 觉得 鲍 勃 是 个 信得过 的 
人 ， 她 坚信 和 鲍 勃 会 还 钱 。 在 安全 术语 里 ， 一 个 可 信任 的 组 成 部 分 意味 
着 你 不 得 不 依靠 的 对 象 。 当 人 们 用 可 信任 来 描述 认证 机 构 的 时 候 ， 他 
们 党 得 如 果 这 些 机 构 都 不 可 信 了 ， 网 络 安全 就 坚 无 保障 了 。 


在 其 他 条 件 都 不 变 的 情形 下 ， 信 任 最 小 化 是 一 个 值得 追求 的 目 
标 。 我 们 希望 能 打造 一 个 安全 的 系统 ， 这 个 系统 能 够 尽量 减少 我 们 不 
得 不 依靠 的 组 成 部 分 。 但 是 当 你 手 里 有 把 铁 锤 ， 任 何事 情 看 起 来 都 像 
可 以 用 铁 锤 来 解决 的 条 子 。 比 特 币 的 支持 者 经 常 过 度 退 求 去 除 体系 中 
的 可 信任 部 分 。 一 个 可 信 的 组 成 部 分 不 总 是 坏事 。 现 实 世 界 里 存在 的 
信任 关系 本 身 也 没有 问题 。 去 除 可 信任 的 部 分 ， 可 能 融 来 其 他 隐藏 的 


问题 。 


我 们 在 本 章 最 后 的 11.4 节 会 详细 阐述 这 一 点 。 人 至 少 到 目前 为 止 ， 


我 们 意识 到 信任 这 个 词 的 复杂 含义 ， 我 们 避免 信任 这 个 词 ， 而 是 用 安 
全 这 个 比较 明确 的 词 来 表示 。 


在 技术 解决 不 了 的 地 方 ， 或 者 作为 技术 解决 方案 的 补充 ， 信 和 誉 起 了 
一 定 的 作用 。 然 而 ， 信 和 誉 也 有 一 些 问题 。 信 誉 是 要 和 真实 身份 联系 在 一 


起 的 。 如 果真 实 身份 不 确定 或 不 明 衣 ， 信 和 誉 就 无 法 发 挥 作用 。 比 如 ， 一 
家 餐馆 收 到 网 络 差 评 后 决定 关 了 该 餐 馆 ， 摆 脱 坏 信誉 ， 然 后 以 原 班 人 马 
重 开 一 家 新 的 餐馆 。 在 匿名 的 世界 ， 信 和 誉 无 法 发 挥 作用 。 在 半 匿 名 环境 
下 ， 真 实 身 份 很 容易 改变 ， 以 信誉 为 基础 的 系统 会 面临 很 大 的 挑战 。 信 
誉 体系 也 要 设法 去 验证 对 别人 声誉 有 影响 的 众多 评价 。 在 传统 的 像 Yelp 
“二 的 系统 中 ， 商 户 用 真名 ， 用 户 某 种 程度 上 也 用 真名 。 然 而 在 半 匿 名 环 
境 ， 很 难 精确 地 区 分 是 假 的 指控 还 是 真 的 事实 。 


我 们 不 再 深入 讨论 其 他 的 安全 机 制 ， 比 如 安全 人 硬件 设备 等 。 不 管 是 
用 什么 安全 机 制 ， 最 后 都 会 面临 一 个 大 的 挑战 ， 即 没有 现实 生活 中 的 执 
法 机 构 。 因 为 没有 用 真实 身份 ， 这 些 机 制 里 都 没有 对 错误 行为 的 惩 刚 ， 
争议 也 无 法 在 法 寿 上 解决 。 借 钱 变 得 不 可 能 ， 因 为 没有 执法 机 构 保证 借 
球 人 会 还 钱 ， 因 此 交易 经 常 需 要 先 预 存 蒜 ， 这 些 预 存 球 在 争议 期 间 会 被 
锁 住 。 


框架 

总 结 一 下 本 章 至 今 讨论 的 内 容 ， 我 们 可 以 通过 提 4 个 问题 ， 来 对 任 
何 去 中 心 化 的 方案 进行 分 析 : 

1. 去 中 心 化 的 对 象 是 什么 ? 

2. 去 中 心 化 的 程度 如 何 ? 


3. 用 什么 样 的 区 块 链 ? 
4. 采 用 什么 样 的 安全 措施 ? 


只 要 回答 了 以 上 4 个 问题 ， 我 们 束 基 本 上 能 精确 地 了 解 大 多 数 在 比 
特 币 世界 里 见 过 的 基于 区 块 链 的 去 中 心 化 方案 。 让 我 考虑 以 下 几 个 例子 
( 见 表 11.1) : 


我 们 讨论 过 的 智能 资产 ， 去 中 心 化 的 是 资产 的 所 有 权 和 资产 的 转 
移 。 它 达到 了 完全 去 中 介 化 一 一 完全 不 需要 DMV 和 国家 这 样 的 实体 。 
我 们 谈 过 它 如 何 使 用 比特 币 的 区 块 链 来 达到 目的 。 当 然 你 也 可 以 用 万 类 
区 块 链 。 最 后 ， 安 全 性 是 通过 不 可 分 割 方式 ， 即 把 文 付 与 汽车 所 有 权 的 
转移 不 可 分 割地 融合 在 一 起 。 

表 11.1 区 块 链 去 中 心 化 的 方案 特征 


方案 
i 
去 中 介 化 。 竞争 和 去 中 介 竞争 去 中 介 
9 a 比特 币 另类 币 比特 币 另类 币 
这 
“不 可 分 割 。 声 准 ， 不 可 分 类 声 着 不 可 分 抽 


去 中 心 化 的 预测 市 场 
在 一 个 中 心 化 的 预测 市 场 ， 中 心平 台 或 者 交易 所 提供 两 种 重要 的 服 


务 : 裁决 并 公布 任何 赌注 的 事件 ， 并 同 参 与 者 出 售 股权 (或 者 帮助 参与 
者 安全 地 彼此 交易 〉。 我 们 在 第 9 章 看 到 ， 去 中 心 化 的 预测 市 场 不 需要 
一 个 中 央 权 力 机 构 来 提供 这 些 功 能 。 它 让 每 个 人 都 可 以 为 一 个 时 间 设 置 
一 个 市 场 ， 并 通过 发 送 一 个 简单 交易 ， 成 为 对 应 市 场 的 仲裁 者 ， 这 样 降 
低 了 执行 这 些 操作 的 准 入 门 榴 。 因 此 ， 中 介 还 是 存在 的 ， 但 用 户 可 以 自 
由 选择 很 多 相互 苋 争 的 中 介 。 如 果 用 户 还 不 满意 ， 他 们 自己 可 以 来 执行 
这 些 操作 。 力 一 方面 ， 用 户 可 以 直接 上 自动 地 和 其 他 用 户 交 易 股 票 ， 所 以 
中 央 集 权 这 方面 的 功能 被 去 中 介 化 了 。 去 中 心 化 的 预测 市 场 要 求 比特 币 
没有 的 新 功能 ， 所 以 最 好 通过 一 个 定制 的 另类 币 的 区 块 链 来 实现 。 


存储 J 


存储 J(Stro) 是 格雷 戈 : 麦 斯 威 尔 (Greg 。 Maxwell) 提出 的 ， 用 于 文 
件 存 储 和 调用 。 它 已 经 有 好 多 更 新 版 本 ， 但 我 们 只 讨论 简单 版 本 。 大 体 
上 上 看， 存储 J 设 置 了 一 个 存在 云端 的 “代理 ”， 它 被 设计 过 ， 能 自己 做 出 
一 些 特定 决定 。 比 如 ， 为 了 有 计算 资源 ， 它 可 以 租用 云端 算 力 和 存储 空 
间 。 另 一 个 提供 给 用 户 的 功能 是 让 客户 将 文件 存放 一 段 时 间 ， 比 如 24 人 小 
时 ， 需 要 用 比特 币 付 费 。 只 要 收 到 比特 币 支 付 ， 它 就 会 一 直 保 存 客 户 文 
件 。 除 了 简单 的 存储 ， 它 还 能 做 一 些 其 他 有 趣 的 事情 。 我 们 不 做 深入 展 
开 。 在 我 们 的 框架 里 ， 存 储 J 实 现 了 文件 存 取 的 去 中 心 化 ， 这 也 是 像 
Dropbox 三 一 样 中心 化 服务 的 核心 功能 。 代 理 其 实 融 是 中 介 。 对 我 们 来 
说 ， 自 动 化 与 否 其 实 并 没有 区 别 。 然 而 ， 中 介 之 间 存 在 竞争 。 文 付 是 通 
过 比特 币 。 代 理 提供 服务 和 收 到 文 付 并 没有 不 可 分 割 的 连接 ， 所 以 安全 
是 通过 代理 的 声誉 来 实现 的 。 


币 


我 们 在 第 6 章 讨 论 过 零 币 ， 一 个 有 效 的 、 去 中 心 化 达到 混合 币 种 从 
而 保持 匿名 服务 的 方法 。 零 币 不 是 采用 中 心 化 的 混合 服务 ， 而 是 采用 加 
蜜 协议 实现 了 用 混合 币 种 的 功能 ， 只 是 靠 数 学 和 共识 而 不 靠 中 介 。 和 零 币 


全 


和 它 的 后 来 者 重度 使 用 加 密 机 制 ， 因 此 比较 适合 使 用 特别 的 区 块 链 。 在 
安全 措施 上 ， 我 们 曾 提 到 需要 销毁 一 个 基础 币 〈Basecoin) 从 而 作为 交 
换 获 取 一 个 零 币 ， 这 两 个 操作 密 不 可 分 。 屿 回 零 币 也 是 如 此 ， 这 就 是 典 
型 的 不 可 分 割 性 。 


1. 一 个 在 线 电子 交易 平台 ， 对 应 的 在 线 赌博 模式 被 称 为 “未 来 事件 交易 ”。 网 站 用 户 可 以 
对 所 有 与 体育 竞赛 没有 关系 的 “大 事件 ”下 注 ， 包 括 政治 事件 、 经 济 形势 、 娱 乐 新 闻 、 交 通 
运输 、 法 律 现 状 、 流 行 音乐 甚至 是 天 气 情况 。 一 一 译 者 注 

2. Yelp 类 似 于 国内 的 大 众 点 评 。 一 一 译 者 注 


3. 一 款 非常 好 用 的 免费 网 络 文件 同步 工具 ， 是 Dropbox 公 司 运 行 的 在 线 存 储 服 务 ， 有 人 
说 是 世界 上 最 伟大 的 云 存储 服务 之 一 。 通 过 云 计算 实现 互联 网 上 的 文件 同步 ， 用 户 可 以 
存储 并 共享 文件 和 文件 来 。 一 一 译 者 注 


11.4 什么 时 候 适 合 去 中 心 化 


我 们 一 直 在 关注 技术 上 如 何 实现 去 中 心 化 。 现 在 ， 我 们 要 深入 研究 
去 中 心 化 的 动机 。 这 些 问 题 跟 技术 无 天 ， 却 同样 难以 回答 : 去 中 心 化 一 
定 是 有 益 的 吗 ? 经 济 上 合适 吗 ? 去 中 心 化 的 社会 影响 是 什么 ? 


我 们 至 今 只 是 把 “去 中 心 化 ”当成 一 个 技术 概念 ， 却 从 来 没有 明确 提 
出 去 中 心 化 是 和 政治 紧密 相关 。 当 我 们 讨论 用 技术 的 创新 手段 丛 代 或 者 
部 分 答 代 传统 体系 ， 我 们 实际 上 是 在 讨论 如 何在 旧 有 的 法 律 、 社 会 和 金 
融 机 构 中 重新 分 配 权力 。 去 中 心 化 的 理想 来 自 比 特 币 的 起 源 :密码 朋克 
运动 一 一 一 群 不 墨守成规 的 人 发 起 的 旨 在 通过 加 密 技 术 实现 个 体 目 治 的 
运动 〈 参 阅 前 言 和 第 7 章 相 关内 容 ) 。 有 了 区 块 链 ， 他 们 的 理想 相对 以 
前 更 近 了 。 但 是 他 们 的 理想 可 行 吗 ? 受 欢迎 吗 ? 


回 到 我 们 的 汽车 销售 和 案例， 传统 机 构 会 试图 帮助 汽车 所 有 者 解决 两 
个 问题 ， 第 一 个 是 强化 所 有 权 ， 也 就 是 说 ， 防 止 偷 甸 ， 第 二 个 是 确保 交 
易 安 全 进行 ， 或 者 说 防止 在 交易 中 被 欺骗。 所 以 当 我 们 比较 智能 资产 和 
现 有 体系 时 ， 我 们 不 能 仅仅 比较 一 切 顺利 的 时 候 谁 效 率 蝇 ， 最 重要 的 是 
我 们 要 看 事情 不 顺利 的 时 候 ， 最 坏 能 坏 到 什么 程度 。 


现实 生活 中 的 安全 性 挑战 


防止 任何 形式 的 偷盗 一 一 比如 汽车 、 艺 术 品 、 现 金 等 一 一 都 是 预 
防 、 发 现 和 纠正 错误 。 预 防 性 安全 机 制 在 于 阻止 偷盗 的 发 生 ， 发 现 性 安 
全 机 制 在 于 发 现 盗窃 便于 将 来 采取 纠正 错误 的 措施 ， 纠 正 错误 就 是 索 回 
盗 贸 的 损失 并 惩 避 盗 太 者 〈 惩 玉 也 可 以 看 成 是 预防 盗 禄 发 生 的 方式 之 


一 ) 。 车 锁 和 报警 需 是 预防 性 安全 措施 ，GPS 跟 踪 露 (比如 LoJack) 用 于 
帮助 发 现 盗 历 并 有 助 于 执法 者 找到 被 偷 的 车 。 其 中 的 关键 在 于 ， 阻 目 丛 
车 涉及 和 警察、 保险、 法 姓 等 ， 车 锁 只 是 阻止 偷 车 犯罪 的 一 个 小 因素 。 如 
果 你 生活 在 没有 法 律 保 护 的 环境 里 ， 单 纯 的 车 锁 并 不 能 阻止 盗 禄 的 发 
生 。 这 种 情况 下 ， 锁 在 路 边 的 车 很 快 束 会 被 偷 走 。 


智能 资产 的 模式 极 大 地 依靠 预防 措施 。 只 有 把 所 有 权 等 同 于 使 用 
权 ， 我 们 才能 实现 去 中 心 化 。 即 拥有 这 和 辆 车 所 有 权 就 表示 ， 你 知道 东 块 
区 块 链 上 的 私人 密 钥 。 但 是 这 种 控制 原理 无 法 取代 我 们 现在 拼图 式 的 机 
构 合 作 。 


假 右 我 们 仪 用 保密 的 私人 密 钥 来 表示 拥有 权 ， 那 么 数字 加 密 束 变 得 
很 重要 。 但 是 因为 人 类 是 所 有 因素 里 最 容易 被 突破 的 ， 数 字 加 密 的 保密 
性 就 会 变 得 很 困难 。 加 密 系 统 的 设计 者 几 十 年 来 一 直 在 努力 让 非 技术 用 
尸 使 用 并 管理 私人 密 钥 以 防止 偷盗 或 者 丢失 钥 电 ,但 是 晨 无 进展 。 如 果 
去 中 心 化 只 依 菲 私 密 钥 叫 ， 非 法 软件 或 者 钓鱼 攻击 就 能 偷 走 车 。 或 者 二 
记 密 钥 就 能 导致 你 的 车 变 成 一 堆 废 铁 。 当 然 ， 以 上 问题 都 可 以 有 其 他 的 
解决 方式 ， 最 后 这 些 解 决 方式 让 我 们 回 到 中 介 和 中 心 化 系统 ， 偏 离 了 我 
们 为 之 奋斗 的 去 中 心 化 的 主 由 。 


只 要 涉及 人 ， 资 产 转移 就 会 存在 争议 如 何 解 决 的 问题 。 和 争议 在 于 交 
易 条 件 或 者 交易 的 任何 一 个 方面 。 在 现实 世界 ， 如 果 交 易 双 方 无 法 达成 
一 致 ， 就 会 把 争议 提交 到 法 许 ， 法 官 会 按照 固定 的 程序 验证 每 一 条 证 
据 、 供 词 和 书面 文件 ， 最 后 法 官 会 做 出 关于 这 个 买卖 有 效 性 的 判决 。 很 
多 人 ， 特 别 是 技术 方面 的 人 ， 倾 癌 于 把 法 律 看 成 是 一 套 由 逻辑 化 的 规则 
与 算法 组 成 的 体系 ， 该 体系 必定 能 够 得 到 一 个 明确 的 裁决 。 然 而 ， 现 实 
中 的 法 律 体 系 不 但 有 元 长 的 法 律 和 条 约 ， 还 有 人 们 对 法 律 法 规 的 理解 和 
判断 。 这 些 离 有 明确 逻辑 的 法 规 的 观念 就 更 加 遥远 了 。 这 种 特征 并 不 是 
弱点 。 因 为 这 样 才 可 能 允许 我 们 去 解决 当初 制定 法 律 的 人 所 没有 想到 的 
更 加 复杂 的 案例 。 


回 到 去 中 心 化 模式 的 安全 问题 ， 我 们 想 要 的 安全 属性 和 去 中 心 化 模 
式 提 供 的 安全 模 陈 是 有 将 别 的 。 就 以 之 前 提 到 的 去 中 心 化 众 筹 为 案例 : 
我 们 知道 众 筹 可 以 技术 上 设置 成 让 创业 者 直到 资助 蒜 达 到 一 定数 额 才 可 
以 取出 。 然 而 ， 这 并 不 能 阻止 已 经 成 功 筹 集 到 钱 的 创业 者 携 蒜 潜逃 。 事 
实 上， 即使 在 现在 中 心 化 模式 下 ， 众 筹 网 站 也 有 一 些 又 局 ， 最 终 被 告 上 
法 寿 。 在 去 中 心 化 模式 下 ， 创 业者 有 可 能 会 匿名 ， 没 有 被 法 律 诉 讼 的 威 
肋 ， 这 种 情况 下 骗局 一 定 更 多 。 很 难 想象 技术 能 够 解决 这 个 难题 。 这 和 是 
为 一 个 案例 ， 显 示 了 技术 只 能 解决 一 小 部 分 问题 。 坦 白地 说 ， 技 术 能 解 
决 的 只 是 问题 中 无 趣 的 那 部 分 。 


小 结 一 下 ， 智 能 资产 的 问题 是 社会 性 的 ， 都 是 当 事 情 不 太 对 劲 时 引 
起 的 纠纷 。 在 所 有 参与 方 都 满意 的 前 担 下 ， 技 术 可 以 保证 交易 的 高 效 
性 。 但 是 ， 技 术 无 法 解决 这 些 环 手 的 纠纷 。 


鲁能 资产 的 优 缺 点 


正如 我 们 讨论 的 ， 在 一 些 传统 上 需要 人 们 介入 的 方面 ， 智 能 资产 不 
容易 去 中 心 化 。 事 实 上 ， 目 动 化 可 能 让 去 中 心 化 更 加 困难 ， 因 为 调停 和 
其 他 进程 都 是 在 事件 发 生 后 才 出 现 ， 目 动 化 很 难 协调 好 这 种 事后 出 现 的 
不 正常 的 事件 。 最 后 ， 智 能 资产 产权 会 产生 新 的 问题 ， 比 如 在 汽车 的 例 
子 中 ， 会 要 求 软件 和 硬件 都 安全 。 


在 茶 种 程度 上 ， 我 们 讨论 过 的 例子 只 是 一 个 完整 智能 资产 协议 的 缩 
印 简化 版 。 比 特 币 世界 中 的 很 多 提案 都 是 更 为 周全 与 细致 入 微 的 。 即 便 
如 此 ， 在 我 们 简单 的 案例 中 ， 我 们 还 是 可 以 分 辨 出 智能 资产 的 好 处 和 坏 
处 。 


智能 资产 的 最 大 优点 ， 束 是 能 够 在 任何 时 候 、 任 何 地 点 进行 高 效 的 
所 有 权 转 让 。 对 于 像 乔 能 手机 或 者 电脑 这 样 的 产品 ， 价 值 没 有 汽车 那么 


高 ， 如 果 有 争议 一 般 也 不 会 诉 诸 法 律 ， 所 以 使 用 智能 资产 没有 任何 坏 
处 。 对 于 这 些 产 品 ， 不 可 分 割 的 交易 是 一 种 有 用 的 安全 性 特性 。 


通过 区 块 链 的 智能 资产 也 可 以 提供 很 好 的 隐私 保护 其 至 匿名 服务 。 
虽然 我 们 说 隐私 保护 会 让 解决 争议 变 得 复杂 化 ， 但 对 于 一 个 消费 者 信息 
被 公司 滥用 的 社会 ， 隐 私 保护 还 是 很 有 意义 的 。 在 茶 些 情况 下 ， 不 需要 
揭露 真实 身份 是 交易 方 最 看 重 的 因素 。 这 在 中 心 化 的 中 介 模 式 下 是 不 可 
能 的 。 


最 后 ， 去 中 心 化 的 模式 允许 目 由 选择 调停 者 。 即 使 我 们 对 法 律 系统 
很 满意 ， 大 多 数 和 争议 调停 是 由 像 维 陕 或 者 贝 宝 这 样 的 私人 公司 内 部 暗箱 
操作 的 。 通 过 使 用 可 蔡 代 的 模式 ， 让 调停 公开 竞争 ， 我 们 有 可 能 让 这 个 
过 程 更 加 透明 公开 并 接受 公众 的 监督 。 


加 密 、 国 家 和 大 机 会 


帧 起 的 现代 国家 和 我 们 在 本 章 讨 论 的 技术 的 目的 有 惊人 的 相似 。 在 
从 氏族 部 落 和 小 群体 发 展 出 来 的 现代 社会 ， 政 府 一 直 致 力 于 精确 地 解决 
一 个 问题 : 让 卫生 人 安心 地 开展 商务 和 其 他 交互 活动 。 政 府 和 我 们 讨论 
的 技术 ， 采 用 的 办 法 也 许 大 不 相同 ， 但 是 目标 是 一 致 的 。 


尽管 马克 思 主 义 者 眼中 的 去 中 心 化 也 许 牵 扯 到 解散 国家 ， 但 解散 国 
家 这 种 做 法 不 太 现 实 ， 尤 其 是 在 其 他 人 比如 民主 化 国家 的 人 民 也 和 希望 去 
中 心 化 时 。 然 而 ， 通 过 技术 去 中 心 化 并 不 一 定 会 和 国家 对 立 。 事 实 上 ， 
它们 可 以 相辅相成 。 比 如 ,假设 交易 双方 都 是 经 过 验证 的 ， 智 能 资产 的 
交易 就 可 以 通过 区 块 链 技术 高 效 地 完成 ， 万 一 有 和 争议 ， 也 可 以 付 诸 法 
律 。 我 们 认为 ， 未 来 区 块 链 拉 术 的 机 会 就 在 于 ， 以 和 政府 功能 互补 的 方 
式 建立 去 中 心 化 ， 而 不 是 试图 答 代 政府 。 


只 要 技术 存在 就 可 以 去 中 心 化， 这 种 想法 很 吸引 人 。 但 是 在 实际 操 


作 中 ， 我 们 需要 找到 经 济 上 令 人 信服 的 理由 ， 比 如 说 政府 的 监管 过 于 繁 
杂 和 低 效 ， 或 者 权力 失衡 导致 的 权力 滥用 。 举 个 例子 ， 很 多 非洲 国家 的 
居民 已 经 用 “手机 分 钟 ”(cell phone minutes) 作为 实际 上 的 货币 ， 这 样 
的 货币 脱离 了 政府 的 控制 ， 也 避免 了 相应 权力 的 小 


总 结 一 下 ， 我 们 在 本 章 描 绘 了 去 中 心 化 的 技术 赣 图 ， 也 批判 性 地 探 
讨 了 去 中 心 化 的 动因 。 我 们 误 励 大 家 寻找 去 中 心 化 更 有 说 服 力 的 案例 ， 
特别 是 把 现 有 法 律 和 监管 实践 融合 在 一 起 的 好 案例 。 


结束 语 


有 些 人 因为 其 抵 层 技术 而 对 比特 币 感 兴趣 ， 妨 外 一 些 人 对 它 的 商业 
可 能 性 着 迷 ， 还 有 一 些 人 关心 它 的 社会 和 政治 影响 。 理 性 的 人 可 能 不 同 
意 后 面 两 类 人 的 观点 。 但 是 我 们 希望 这 本 书 能 够 让 你 知道 ， 比 特 币 在 技 
术 上 是 有 深度 的 、 创 新 的 、 有 趣 的 ， 而 且 是 建立 在 正确 理论 上 的 。 我 们 
才刚 刚 开 始 开拓 比特 币 之 外 令 人 炫目 的 男 类 加 密 货 币 ， 其 中 的 菜 些 加 密 
货币 也 许 有 一 天 甚至 超越 比特 币 。 


我 们 选择 深入 研究 比特 币 ， 是 因为 我 们 坚信 技术 的 力量 。 我 们 坚信 
比特 币 和 其 他 计算 机 科学 有 很 深 的 联系 。 我 们 重点 突出 了 有 潜力 的 新 技 
术 是 如 何 试图 取代 已 有 组 织 机 构 的 。 我 们 相信 ， 人 类 还 会 继续 找到 加 密 
仙 币 技术 在 新 的 商业 和 社会 领域 里 的 有 益 应 用 。 即 使 你 的 兴趣 主要 在 于 
它 的 两 业 化 ， 你 也 能 从 了 解 掌握 它 的 底层 技术 中 获 蔡 。 而 了 解 它 的 能 量 
和 限制 ， 有 助 于 你 在 市 场 的 浪潮 起 伏 中 顺应 时 势 。 


未 来 何 往 ? 去 中 心 化 的 好 处 之 一 ， 就 在 于 它 是 一 个 极 佳 的 实验 和 学 
习 的 平台 。 任 何人 都 可 以 下 载 安 装 和 分 析 比 特 币 的 区 块 链 ， 或 者 在 此 之 
上 建立 自己 的 应 用 。 我 们 希望 你 也 能 充分 利用 这 些 机 会 。 


我 们 制作 了 许多 教材 的 网 络 辅助 材料 。Coursera 网 上 课程 三 
Cwww. coursera.org/course/bitcointech) 包含 了 根据 本 书 录 制 的 视频 课 
程 ， 还 有 测验 和 一 些 编程 作业 《在 线 资 料 链接 为 
http:/press.princeton.eduy/titles/10908.html) 。 参 加 这 个 网 络 课程 还 可 以 
让 你 和 志同道合 的 学 习 者 一 起 在 线 讨 论 。 


1. 免费 大 型 公开 在 线 课程 项 目 ， 由 美国 斯 坦 福 大 学 两 名 计算 机 科学 教授 (Andrew Ng 和 
Daphne Koller) 创办 。 虽 在 同 世 界 顶尖 大 学 合作 ， 在 线 提供 免费 的 网 络 公 开课 程 。 


Coursera 的 首 批 合作 院 校 包括 斯 坦 福 大 学 、 密 鞭 根 大 学 、 普 林 斯 顿 大 学 、 宾 儿 法 尼 亚 大 学 
等 美国 名 校 。 一 一 译 者 注 


术语 表 
Advanced Encryption Standard 高 级 加 密 标 准 〈 人 简称 AES ) 
altcoin infanticide 另类 币 天 折 
Altcoin 另类 币 
anonymityset 匿名 集 
anonymous marketplace 匿名 市 场 
Anti-Money Laundering 反 洗 钱 〈 简 称 AML ) 
append-only ledger 仅 增 账目 
Application Programming Interface 应 用 程序 编程 接口 (简称 API) 


Application Specific Integrated Circuits 专用 集成 电路 技术 (简称 
ASIC) 


Arithmetic Logic Units 算术 逻辑 单元 (简称 ALU) 
ASIC-resistant puzzles 反 ASIC 解 谜 算法 
asymmetric information 信息 不 对 称 

atomic cross-chain swaps 原子 型 交叉 链 互 换 


Basecoin 基础 币 


bent corner theory 折 角 论 


Berkeley Open Imfrastructure for Network Computing 伯克利 开放 式 网 
络 计算 平台 (简称 BOINC) 


birthday paradox 生日 悖 论 

bit fiddling 数位 操作 

bitcoin core 比特 币 核 心 钱 包 

Bitcoin Foundation 比特 币 基金 会 

Bitcoin Improvement Proposal 比特 币 改 进 方案 (简称 BIP) 
bitcoin mining 比特 币 挖 矿 

bitcoindlibrary 比特 币 官 方 客户 端的 资源 库 


bitcoin-qt ”library ”比特 币 类 库 ， 现 在 又 称 为 比特 币 中 心 (bitcoin 
core) 


bitlicense 比特 币 牌照 

block chain 区 块 链 

blockchain.info 区 块 链 信息 公司 
block-discarding attack 区 块 丢弃 攻击 
bootstrapping 自 举 过 程 


brain wallet 大 脑 钱包 


bytecode 字 节 三 

Byzantine Generals Problem 拜 占 许 将 盏 问题 
change address 零钱 地 址 

chunk size 块 大 小 

clustering of addresses 地 址 艇 
CoiledCoin 盘旋 币 

coin center 货币 中 心 

Coinbase 比特 币 基 地 公司 
CoinJoin 合 币 

coinstake transaction 币 拥 有 量 交 易 
collision-resistance 夺 撞 阻力 
collusion 串 谋 

Colored Coins 染色 币 

Commit Coin 承诺 币 

commitment 承诺 

compatibility 兼容 性 

compression function 压缩 函数 


concensus chain 共识 链 


consensusalgorithm 共识 算法 
considating funds 资金 合 3 
Counterparty 合约 币 

CreateCoins 造 币 
cryptocurrencyecosystem 加 密 货 币 生态 系统 
crypto-currency 加 密 数 字 货 币 
cryptographic beacons 密码 学 “信和 号 塔 ” 
cryptographic guarantees 加 密 学 保证 
Cunningham chain 坎 宁 安 链 
cypherpunk 密码 朋克 

Dark Coin 黑暗 币 

data furnace 数据 火炉 

deanonymized 暴露 

decentralized mixing 分 布 式 混 币 
default strategy 默认 策略 

digital cash 数字 货币 

digital signatures 数字 签名 


distributed consensus 分 布 式 共识 


distribution with high min-entropy 最 小 信息 烂 分 布 特性 
Dogecoin 狗 币 

double spending 双重 支付 

ECDSA 椭圆 曲线 数字 签名 算法 

efficient micro-payments 高 效 小 额 支付 


encoding keys 编码 解码 


escrow transaction 第 三 方 支付 交易 
Ethereum-specificVirtualMachine 以 太 坊 专用 虚拟 机 (人 简称 EVM) 
Ethereum 以 太 坊 


feather forking 羽 量 级 分 叉 


Field-Programmable Gate Array 现场 可 编程 门 阵列 〈 简 称 FPGA) 
Fischer-Lynch-Paterson impossibility result 不 可 能 性 结论 
flooding algorithm 泛 洪 算法 

flooping protocol 泛 洪 协议 

forking attack 分 又 攻击 


frontrunning 预先 交易 


fully validating nodes 完全 有 效 节 点 


fungibility 可 互 换 性 


Futurecoin 未 来 币 

GenCoin 生成 货 

genesis block 创 世 区 块 

getblocktemplate 获取 有 效 区 块 模 版 〈 简 称 GBT) 


GoofyCoin 高 飞 币 


Great Internet Mersenne Prime Search 互联 网 梅森 质数 大 搜索 (人 简称 
GIMPS) 


green addresses 绿色 地 址 

Hash 哈 希 算法 

hash collision 哈 希 碰撞 

hash pointer 哈 希 指针 

hash power 哈 希 算 力 

hash puzzles 哈 希 解 谜 

hash rate 哈 希 速度 / 哈 希 率 

hashes of public keys 公 钥 哈 希 值 

hiding 隐秘 性 

hierarchical deterministic wallet 分 层 确 定性 钱包 


high min-entroy 高 阶 最 小 燃 


high-level flows 高 风险 交易 流 

idioms of use 惯用 法 则 

implicit consensus 隐 性 共识 

instawallet 一 种 在 线 钱包 

joint payments 共同 支付 

key stretching 密 钥 延展 

key-value 键 值 

Know Your Customer 了 解 你 的 客户 《简称 KYC ) 
Large Hadron Collider 大 型 强 子 储 撞 《简称 LHC ) 
laundering hashes 洗 算 力 

laundry 洗钱 

lemons market 柠檬 市 场 /次 品 市 场 


lightweight nodes 轻 量 节点 


Linear Feedback Shift Registers 线性 反馈 移 位 寄存 器 (简称 LFSR) 
linking 关联 性 

Litecoin 莱特 币 

lock_time 锁定 时 间 


locking mechanisms 加 锁 机 制 


mandatory reporting 强制 上 报 
megajoules 兆 焦耳 ， 百 万 焦耳 
megawatt 兆 瓦 ， 百 万 瓦特 


memory-bound puzzles 内 存 限制 解 迹 


memory-hard mining puzzle 记忆 储存 体 控 矿 谜 题 
memory-hard puzzles 刚性 内 存 解 谜 
memoryless process 无 记忆 进程 的 
merge avoidance 合并 规避 
mergemining 共同 挖 矿 

Merkle trees 梅 克 尔 树 
Merkle-Damgard transform MD 变换 
mining shares 挖 矿工 分 

Mix net 混 币 网 络 

Mixing 混 币 

modular addition 模 加 法 运算 
multisignatures 多 重 签名 

Namecoin 域名 币 


niche currency 利 基 货币 


nonce 临时 随机 数 

opcode 操作 码 

Open Computing Language 开放 运算 语言 (简称 OpenCL) 
open protocol 开放 协议 

OpenAseet 开放 资产 

open-source project 开源 项 目 

open-source software 开源 软件 

open-source system 开源 系统 

orphan block 孤 块 

overlay currencies 附着 币 

parent node 父 节点 

partial hash-preimage puzzle 不 完全 哈 希 函数 原 像 解 谜 
partial preimage 不 完全 原 像 

PayCoins 付 币 

paying for a proof 文 付 证 明 费 用 


pay-to-pubkey-hash 标准 的 比特 币 转账 流程 / 文 付 到 比特 币 地 址 的 标 
准 交 易 


Pay-to-script-hash 文 付 给 脚本 的 哈 希 值 〈《 简 称 P2SH) 


Peercoin 点 点 币 

Permacoin 永久 币 

Petabytes 折 字 节 〈 人 简称 PB) 
Pigeonhole Principle 铅 梨 原理 

pool hopping 矿 池 跳 换 

Primecoin 质数 币 

Private key 私 针 

progress free 无 关 过 程 的 

proof of burn 销毁 证 明 

proof of Liabilities 负债 证 明 

Proof of membership 隶属 证 明 

Proof of non-membership 非 隶 属 证 明 
proof of Reserve 准备 金 证 明 

proof of retrievabitlity 可 恢复 性 证 明 
proof of storage 存储 量 证 明 

proof of“clairvoyance” 未 来 预测 证 明 
proof-of-stake 权益 证 明 


proof-of-workskiplist 工作 证 明 跳 表 


proof-of-work 工作 量 证 明 

protein folding 蛋白质 折 狼 

provision 准备 金 

pseudocode 伪 代 码 

pseudonymity 化 名 

Pseudo-Random Generator 伪 随 机 数 发 生 器 (简称 PRG) 
publickey 公 钥 

pull requests 提交 请 求 

Pump-and-dumpscams 拉 高 出 货 骗术 

punitive forking 惩罚 分 又 

puzzle-friendliness 谜 题 友 好 

Quick Response code QR 码 

race condition 竞 态 条 件 

radio telescope 射电 望远镜 

Random Acess Memory 随机 存 取 存储 器 (人 简称 RAM ) 
randomness beacons 随机 数 “ 信 号 塔 ” 

real scripts 实际 脚本 


reality keys 现实 密 铀 


replace-by-fee 替代 策略 

reputation system 信誉 评价 系统 

Request for Comments 评议 请 求人 简称 RFC) 

root 树 根 市 点 

Satoshi bones 中 本 聪 肯 头 

Satoshi Dice 中 本 聪 之 般 

Satoshi Nakamoto 中 本 聪 

save up 萝 力 

scriptPubKey 输出 脚本 

scriptSig 输入 脚本 

ScroogeCoin 财 仅 币 

Secure Hash Algorithm 256 安全 哈 希 算法 《简称 SHA-256 ) 
secure timestamping 安全 时 间 惟 

selfish mining 自私 挖 矿 

sidechains 侧 链 

sidechannels 劳 路 攻击 

Simple Mail Transfer Protocol 简单 邮件 传输 协议 (简称 SMTP) 


Simple Payment Verification 简单 付 球 验证 (简称 SPV) 


smart contracts 智能 合约 


spare cycle 空闲 周期 

stack-based programming language 堆栈 式 编程 语言 
stake-grinding attacks 股权 粉碎 攻击 

stratum 层 

sybil attack 女巫 攻击 

taintanalysis 污点 分 析 

tamper-resistant device 防 损 便 件 

temporary block-withholding attacks 临时 保留 区 块 攻击 
the 51 percent attack 51% 攻击 

the head of list 链表 头 部 

the nothing-at-stake problem 无 利害 关系 问题 
threshold cryptography 门限 密码 

threshold signature 门限 签名 

Tinkerbell effect 仙子 效应 

transaction syntax 交易 语法 

transaction graph analysis 交易 图 谱 分 析 


tumbler 翻 洗 


uniform transactions 一 致 性 交易 
uniqueCoinID 唯一 的 货币 编号 
unlinkability 无 关联 性 

vanity addresses 虚荣 地 址 

virtual currency 虚拟 货币 

virtual mining 虚拟 挖 矿 

Zero confirmation transaction 零 验 证 交易 
Zerocash 零 钞 

Zerocoin 零 币 

zero-knowledge proof 零 知 识 验证 


Zetacoin 泽 塔 币 
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